링크세상 링크모음
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Exim의 심각한 취약점으로 인해 전 세계 250,000개가 넘는 이메일 서버 위협

게티 이미지

Exim 메일 전송 에이전트를 실행하는 수천 대의 서버는 심각한 취약점을 악용하는 잠재적인 공격에 취약하여 사용자 상호 작용이 거의 또는 전혀 없이 악성 코드가 원격으로 실행될 수 있습니다.

이 취약점은 Zero Day Initiative에 의해 수요일에 보고되었지만 보안 메일 목록에 등장한 금요일까지 대부분의 통지를 받지 못했습니다. 6개 버그 중 4개는 원격 코드 실행을 허용하며 심각도 등급은 10점 만점에 7.5~9.8점입니다. Exim은 개인 저장소에서 사용할 수 있는 취약점 중 3개에 대한 패치를 만들었다고 말했습니다. 나머지 3개 취약점(그 중 2개는 RCE 허용)에 대한 패치 상태는 알 수 없습니다. Exim은 인터넷의 무려 253,000개 서버에서 사용되는 오픈 소스 메일 전송 에이전트입니다.

양쪽 모두 “엉성한 핸들링”

ZDI는 Exim이 취약점에 대한 패치를 게시했다는 암시를 제공하지 않았으며 이 게시물이 Ars에 게시되었을 때 Exim 웹 사이트에서는 취약점이나 패치에 대해 언급하지 않았습니다. 금요일 OSS-Sec 메일 목록에서 Exim 프로젝트 팀원은 가장 심각한 취약점 중 두 가지와 덜 심각한 세 번째 취약점에 대한 수정 사항이 “보호된 저장소에 있으며 배포 관리자가 적용할 준비가 되어 있습니다”라고 말했습니다. ”

수정 사항, 관리자가 수정 사항을 얻는 방법 또는 즉시 패치할 수 없는 사용자를 위한 완화 방법에 대한 세부 정보는 더 이상 없습니다. Exim 프로젝트 팀원은 추가 정보를 요청하는 이메일에 응답하지 않았습니다.

CVE-2023-42115로 추적되는 가장 심각한 취약점은 Exim 팀원이 패치했다고 말한 취약점 중 하나입니다. ZDI는 이를 인증을 처리하는 Exim 구성 요소의 범위를 벗어난 결함이라고 설명했습니다.

“이 취약점을 통해 원격 공격자는 영향을 받는 Exim 설치에서 임의 코드를 실행할 수 있습니다.”라고 수요일의 권고는 밝혔습니다. “이 취약점을 악용하는 데는 인증이 필요하지 않습니다.”

CVE-2023-42116으로 추적되는 또 다른 패치 취약점은 Exim 챌린지 구성 요소의 스택 기반 오버플로입니다. 심각도 등급은 8.1이며 RCE도 허용합니다.

ZDI는 “NTLM 챌린지 요청 처리에 특정 결함이 존재합니다.”라고 말했습니다. “이 문제는 사용자가 제공한 데이터를 고정 길이 스택 기반 버퍼에 복사하기 전에 해당 길이에 대한 적절한 검증이 부족하여 발생합니다. 공격자는 이 취약점을 활용하여 서비스 계정의 컨텍스트에서 코드를 실행할 수 있습니다.”

세 번째 수정된 취약점은 CVE-2023-42114로 추적되며, 이는 민감한 정보 공개를 허용합니다. 3.7등급을 받았습니다.

일부 비평가들은 취약점을 투명하게 공개하지 않는다는 이유로 Exim 프로젝트를 비난했습니다. 비판에 더욱 힘을 실어준 ZDI 공개는 회사 대표가 2022년 6월에 Exim 프로젝트 구성원에게 취약점을 알렸다는 타임라인을 제공했습니다. ZDI가 수요일에 취약점을 공개할 때까지 몇 달 동안 몇 차례 주고받은 상호 작용이 발생했습니다.

금요일에 OSS-Sec 메일 목록에 게시된 게시물에서 Exim 프로젝트 팀원인 Heiko Schlittermann은 2022년 6월 비공개 ZDI 보고서를 받은 후 팀원들이 추가 세부 정보를 요청했지만 “우리가 작업할 수 있는 답변을 얻지 못했습니다”라고 말했습니다. .” 다음 연락은 2023년 5월까지 이루어지지 않았습니다. Schlittermann은 “이 연락 직후 우리는 6개 문제 중 3개에 대한 프로젝트 버그 추적기를 만들었습니다.”라고 말했습니다. “나머지 문제는 논쟁의 여지가 있거나 수정해야 할 정보가 누락되어 있습니다.”

토론에 참여한 일부 사람들은 양측을 비판했다.

“이것은 지금까지 ZDI와 Exim 모두가 이러한 문제를 부주의하게 처리한 것처럼 보입니다. 두 팀 모두 10개월 동안 서로를 핑하지 않았고, Exim은 충분한 정보가 있는 높은 점수를 받은 2개의 문제조차 수정하는 데 4개월이 걸렸습니다.” Solar Designer로 알려진 보안 연구원이 썼습니다. “이 시점부터 핸들링을 개선하기 위해 무엇을 하시나요?”

비평가는 또한 수정 사항이 현재 보호된 저장소에 있으므로 OS 배포판에서 Exim 업데이트를 공개하도록 허용되는 시기를 Schlittermann에게 물었습니다. “예를 들어 Exim 프로젝트가 리포지토리를 만들고 버그 항목을 수정하는 2일 후의 특정 날짜/시간을 설정하는 것이 좋습니다. 공개 _and_ 배포판이 업데이트를 릴리스할 것입니다.”

Exim의 어느 누구도 이러한 질문에 응답하지 않았으며 앞서 언급했듯이 Ars가 곧 이메일로 보낸 질문에 응답하지 않았습니다.

금요일 늦은 시간에 제한된 수의 세부 정보만 제공되므로 패치 적용 및 잠재적 완화가 일부 관리자가 바라는 것만큼 간단하지 않을 수 있습니다. 잠재적인 어려움에도 불구하고 취약점은 심각해 보입니다. 2020년 국가안보국(National Security Agency)은 크렘린궁의 지원을 받는 엘리트 위협 행위자인 Sandworm의 해커들이 미국 정부와 그 파트너에 속한 네트워크를 손상시키기 위해 중요한 Exim 취약점을 악용하고 있다고 보고했습니다. 이제 새로운 Exim 취약점이 밝혀졌으므로 위협 행위자가 이를 악용하려는 것은 놀라운 일이 아닙니다.