Sophos Cloud Optix
人気のメールサーバー Exim のパッチが公開されていない最新版に、新たな脆弱性が存在していることが発見されました。
セキュリティ会社の Qualys が 2019 年 5 月に発見したこの脆弱性(CVE-2019-10149)は、複数の Linux ディストロ上で動作する Exim バージョン 4.87 から 4.91 に影響を及ぼします(4.91 のリリースは 2018 年 4 月 15 日にまで遡ります)。次のリリースであるバージョン 4.92 では、2019 年 2 月 10 日にこの問題が修正されましたが、当時保守担当者はこのことに気付いていませんでした。
つまり、2016 年 4 月から 2019 年初めまでのバージョンを使用しているすべてのユーザーが影響を受ける可能性があります。また、それ以前のバージョンであっても、EXPERIMENTAL_EVENT を手動で有効にしている場合は脆弱な可能性がある、と Qualys のアドバイザリは警告しています。
この問題は RCE であると説明されています。ただし、この場合の RCE は、リモート「コマンド」実行を意味しています。一般的な「リモートコード実行」と混同しないようにしてください。
RCE とは、悪意のあるソフトウェアをアップロードしなくても、攻撃者はターゲットシステム上でリモートから任意のコマンドを実行できることを意味します。
同じローカルネットワーク上の別のシステムからであれば、この攻撃は簡単です。一方、ネットワークの外側にあるシステムから同じ攻撃を実行するには、次の条件を満たしている必要があります。
(引用文日本語訳)脆弱なサーバーへの接続を 7 日間維持する必要があります(そのためには数分おきに 1 バイトずつ送信します)。しかし、Exim のコードは非常に複雑であるため、これが唯一の方法であるとは保証できません。より速い方法が存在する可能性があります。
Qualys のアドバイザリに記載されているデフォルト設定のいずれかを Exim が使用している場合には、リモートからの悪用も可能です。
対策
最初に、Debian(Qualys が PoC作成のために使用)、OpenSUSE、Red Hat などのように、ディストロごとに公開されている影響評価をチェックします。Sophos XG Firewall(Exim を含む)のユーザーは、ナレッジベースの記事 134199 を一読されることをお勧めします。
Qualys が指摘しているように、数日以内にこの脆弱性のエクスプロイトが出現することが考えられます。そうなった場合、ハッカーは脆弱なサーバーを特定して乗っ取る可能性があります。管理者はこの問題を修正するパッチをできるだけ早く適用する必要があります。
残念ながら、昨年 2 月に発見された深刻な脆弱性(CVE-2018-6789)に対する修正プログラムの公開が遅かったことを考えれば、今回も迅速な対応は期待できません(こちらの脆弱性も過去のリリースに遡るもので、1995 年以降のすべての Exim バージョンが影響を受けます)。
6 月の時点で、調査対象となったメールサーバーにおける Exim のシェアは 57% に上り、50 万台以上のサーバーを擁するインターネットナンバー 1 プラットフォームとなっています。これは攻撃者にとって、攻撃しやすいサーバーを探す格好の場所です。