Benchmarks Brawte nfaq 0 Comments

Eximメールサーバに21本の釘:脆弱性により「完全なリモート認証されていないコード実行」が可能になり、数百万台のメールサーバが危険にさらされる

Table of Contents

Eximメールサーバに21本の釘:脆弱性により「完全なリモート認証されていないコード実行」が可能になり、数百万台のメールサーバが危険にさらされる

セキュリティ企業Qualysの研究者らは、人気のメールサーバーEximに21の脆弱性を発見した。これらの脆弱性を悪用すると、「完全なリモート認証されていないコード実行とEximサーバーのルート権限の取得」が可能になる。

Eximはメール転送エージェント(MTA)であり、メールの受信と転送を担います。主にUnixまたはLinuxで動作し、DebianではデフォルトのMTAとなっています。ただし、UbuntuとRed Hat Enterprise LinuxではデフォルトでPostfixを使用しています。

一部のホスティング会社は、顧客に電子メール サービスを提供するために Exim を使用しています。また、大学やその他の教育機関でも人気がありました (1995 年にケンブリッジ大学で最初に開発されました)。ただし、これらの多くは、特にケンブリッジ大学自体も、Office 365 または Google メールに移行しています。

最近の調査によると、インターネット上で公開されているメールサーバーの約60%がEximを使用しており、次いでPostfixが34%となっている。Qualysによると、Shodanによる検索で、インターネット上に公開されているEximサーバーは約400万台に上るという。

Qualysは、Eximメールサーバーに対する概念実証エクスプロイトを実証し、リモートサーバーへのルートアクセスを実現しました。

Qualysは、Eximメールサーバーに対する概念実証エクスプロイトを実証し、リモートサーバーへのルートアクセスを実現しました。

Qualys の研究者は、コード監査を通じて 21 件の重大な脆弱性が発見されたと報告しており、そのうち 10 件はリモートから悪用される可能性があります。

ローカルの脆弱性も問題となっており、ローカルユーザーが権限をルートに昇格できる可能性があります。研究者によると、これらの脆弱性のほとんどは長年存在しており、中にはGit(Eximのソースコードリポジトリ)の歴史の始まりにまで遡るものもあります。

概念実証ビデオでは、Qualysが開発したものの非公開のエクスプロイトが実際に動作している様子が示されています。「このエクスプロイトを実行するには、対象のEximサーバーのIPエンドポイントを指定するだけです」と研究者のBharat Jogi氏は説明しています。このエクスプロイトは、メモリ解放後使用バグ(メモリが解放された後に参照される)から始まり、メモリ内のEximの設定場所を検出し、それを改変して「任意のコマンドを実行」します。

これによりNetcatシェルが開き、攻撃者はEximユーザーとしてローカル端末を操作できるようになります。さらに、Eximコードの一部がroot権限で実行されるため、システム上のあらゆるファイルの所有権を攻撃者が取得できる脆弱性が存在します。システムパスワードファイルの所有権を取得すると、ユーザーは完全なroot権限を取得できます。

タイミングが厳しかった

Qualysは、2020年10月20日にEximセキュリティチームにいくつかの脆弱性を通知し、10月29日には追加の脆弱性リストを公開したと述べた。Eximのメンテナーは、レビューとパッチ作成支援のため、QualysにGitリポジトリへのアクセスを許可した。しかし、タイミングはタイトだった。パッチは2月24日まで完成せず、EximチームはユーザーにEximのアップデートを提供する責任を負うパッケージ作成者とメンテナーに4月27日までアクセスを許可しなかった。脆弱性は昨日5月4日に公開されたが、Qualysによると、この日付はEximプロジェクトと合意されていたという。

このタイムラインは、発表時点で多くのサーバーにパッチが適用されていなかったことを必然的に意味します。Debianは昨日、現在の安定版ディストリビューションであるBusterのセキュリティアドバイザリを公開しました。本稿執筆時点では、サポートは終了しているものの長期サポートが適用されるDebian 9 (Stretch) のパッケージはまだ更新されていませんでした。Exim 4.94.2より前のすべてのバージョンに脆弱性があります。

Qualysチームは、「メール転送エージェントの21の脆弱性」をもじって「21 Nails」という名前を選びました。棺桶とは全く関係ありませんが、今回の新たな脆弱性は、セキュリティを考慮して設計されたPostfix(別名Secure Mailer)を使用する方がセキュリティの観点から優れているという主張を裏付けるものとなるでしょう。

メールサーバーは、必然的にインターネットにアクセス可能であるため、明らかな攻撃対象となります。これは、Microsoft Exchangeに影響を与えた最近のセキュリティインシデント「Haffnium」からも明らかです。Eximインスタンスの数はExchangeサーバーの数をはるかに上回っていますが、Exchangeは企業向けであるため、より魅力的な標的となる可能性があります。®

Benchmarks

Smart Recommendations

Discover More