CVE-2019-16928: Eximの「緊急」のバッファオーバーフローの脆弱性、遠隔からの攻撃に悪用される可能性あり
Eximのメールサーバーにおける重大なヒープバッファオーバーフローの脆弱性「CVE-2019-16928」を狙った攻撃により、リモート攻撃者はEximをクラッシュ、または任意コードを実行できる可能性があることが発覚しました。
背景
約500万台のシステムで利用されているUnixホスト向けの 有名なメール転送エージェント(MTA)、Exim Internet Mailerに関するニュースです。今月の初旬に、重大なリモートコード実行(RCE)の脆弱性CVE-2019-15846がExim 4.92.2でパッチされました。一般に公開されてから1週間以内に悪用の試みがあったもう一つのRCE、CVE-2019-10149について、ブログで6月に紹介したばかりでした。
Eximのメンテナンスチームは9月28日に、Exim 4.92~4.92.2までの新たな脆弱性に関する事前通知を発表しました。我々がShodanの結果を分析したところ、350万以上のシステムが影響を受けている可能性があることが分かりました。
分析
CVE-2019-16928は、string.cに見られるstring_vformat()の欠陥によるヒープバッファオーバーフローの脆弱性です。バグレポートに記載されてあるとおり、ストリングの長さが適切に構成されていないという単純なコーディングエラーが原因で、バッファオーバーフローにつながるものです。この欠陥は、メールを受信するEximのプロセスをクラッシュさせる、大きく手の込んだ拡張HELO (EHLO) ストリングを使用できるリモート攻撃者が悪用できるものです。これはさらに悪用され、ホストに対する任意コード実行に発展する可能性もあります。この欠陥は、パッチを提出したQAX A-Teamにより、社内で発見されました。しかし、このバグの悪用は容易であり、攻撃者が近い将来、活発に抜け穴を探し、脆弱性なExim MTAシステムへの攻撃を開始する可能性は高いと言えます。
概念実証
今回のパッチの一部として、影響を受けたEximサーバーで欠陥を悪用し、サービス拒否(DoS)を生じさせることができる概念実証(PoC)が利用可能となっています。
解決策
Eximのチームは、CVE-2019-16928に対応するために、9月29日にバージョン 4.92.3をリリースしました。管理者は、できるだけ早期にアップグレードするよう推奨されています。今回はMitigation Patchはありません。
攻撃されたシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報を入手する
Tenable コミュニティの Tenable セキュリティレスポンスチームにご参加ください
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、Tenable の詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。