orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。



Exim メールサーバーに深刻な脆弱性 マイクロソフトが警告

f:id:orangeitems:20190617124912j:plain

 

Exim メールサーバーに深刻な脆弱性

私はメールサーバーを構築するときは、postfixと決めているので今回の件全く影響を受けないのですが、なんだかEximというメールサーバープログラムは結構シェアを伸ばしていたようですね。

 

nakedsecurity.sophos.com

6 月の時点で、調査対象となったメールサーバーにおける Exim のシェアは 57% に上り、50 万台以上のサーバーを擁するインターネットナンバー 1 プラットフォームとなっています。これは攻撃者にとって、攻撃しやすいサーバーを探す格好の場所です。

 

マイクロソフトが警告

マイクロソフトは、Azureユーザーに対して警告を出しています。

 

japan.zdnet.com

Microsoftは米国時間6月14日、「Exim」経由で拡散するLinuxのワームについて、一部のAzureも影響を受けるとしてAzure顧客向けに警告を出した。
 このワームは米ZDNetが6月13日に最初に報じ、その後詳細情報がレポートされたもので、CVE-2019-10149の脆弱性を利用してEximメールサーバーに感染する。この脆弱性は、悪用されると攻撃者が遠隔からコマンドを実行してパッチを当てていないシステムを乗っ取ることができるというものだ。

 

Microsoftの警告ってなんだろうということで、ソースを調査。

 

blogs.technet.microsoft.com

今週、MSRCは、Eximバージョン4.87から4.91を実行しているLinux Exim電子メールサーバーに、重大なリモートコード実行(RCE)の脆弱性、CVE-2019-10149を悪用する、活動的なLinux ワームの存在を確認しました。 Exim 4.92でVMを実行しているAzureのお客様はこの脆弱性による影響を受けません。

Azureには、SPAMとの闘いのためにこれまでに行った作業からこのワームの拡散を制限するための管理手段がありますが、脆弱なソフトウェアを使用しているお客様は依然として感染の影響を受けやすいでしょう。

 

つまり、もう攻撃者がいるということで、警告したわけですね。

どんな脆弱性なんでしょうか。

 

CVE-2019-10149

わかりやすい説明はこれかなと。

 

jp.tenable.com

CVE-2019-10149は、2016年4月6日にリリースされたEximバージョン4.87で発見されたリモートコマンド実行の脆弱性です。デフォルトの設定では、ローカルの攻撃者はこの脆弱性を悪用して、localhostの特別に細工されたメールアドレスにメールを送信し、「root」ユーザとして即座にコマンドを実行することができます。これは、deliver_message()関数内のexpand_string関数によって解釈されるためです。デフォルトの構成ではリモートから悪用される可能性がありますが、攻撃者は脆弱なサーバーへの接続を7日間維持する必要があるため、信頼性が低いと見なされます。

デフォルト以外の設定では、リモートからの悪用が可能です。たとえば、 デフォルトの設定ファイル(src / configure.default)から'verify = recipient' ACLの要件が削除された場合、デフォルト設定のuserforwardルータの下にある‘local_part_suffix = +* : -*’のコメントが削除された場合、またはEximが「セカンダリMX(Mail eXchange)として、リモートドメインにメールを中継するように設定されていた」場合です。

 

ざっくりいえば、攻撃者からメールを受信したときにroot権限で任意のコマンドが実行可能というとんでもなく怖い脆弱性です。

デフォルトではローカルホストからのみしか受信できないEximですが、メールサーバーとして使うんであればリモートから受信可能。リレーしてもダメ。

細かいことを考える前にパッチを適用した方がよさそうです。

 

なぜEximはこんなにシェアが高いのか

Red Hat Enterprise LinuxやCentOSを使っていると、SendmailかPostfixの二択の頭しか無かったのに、いつの間にかEximがこんなにシェアがある理由が不明でした。わざわざYumから入れればEximは使えるらしいですがなぜにわざわざ。

どうも特に海外で人気のあるUbuntuでは、EximがデフォルトのMTA(メールトランスファーエージェント)らしいですね。

 

news.mynavi.jp

Ubuntuは単体で38%を超えており、同じ傾向が続いた場合はそう遠くない時期に40%のシェアに到達する可能性がある。

 

まとめ

ということで

・世界中で大人気なのはUbuntu
・UbuntuのデフォルトのMTAはExim
・Eximが深刻な脆弱性

この流れです。

 

何というか、メールを受けるとroot権限でコマンド実施なんて悪夢以外の何ものでもないのですが。ぜひLinuxを利用している現場では、Eximを使っていないか確認いただいたほうがよろしいかと思います。

Dockerコンテナなんて、特にUbuntuベースのものは多いので、実はExim使ってましたなんてケースがあると怖いですね・・。アップデートしましょう。