CVE-2019-16928:Eximの「緊急」のバッファオーバーフローの脆弱性、遠隔からの攻撃に悪用される可能性あり
Eximのメールサーバーにおける重大なヒープバッファオーバーフローの脆弱性「CVE-2019-16928」を狙った攻撃により、リモート攻撃者はEximをクラッシュ、または任意コードを実行できる可能性があることが発覚しました。
背景
約500万台のシステムで利用されているUnixホスト向けの 有名なメール転送エージェント(MTA)、Exim Internet Mailerに関するニュースです。今月の初旬に、重大なリモートコード実行(RCE)の脆弱性CVE-2019-15846がExim 4.92.2でパッチされました。一般に公開されてから1週間以内に悪用の試みがあったもう一つのRCE、CVE-2019-10149について、ブログで6月に紹介したばかりでした。
Eximのメンテナンスチームは9月28日に、Exim 4.92~4.92.2までの新たな脆弱性に関する事前通知を発表しました。我々がShodanの結果を分析したところ、350万以上のシステムが影響を受けている可能性があることが分かりました。
分析
CVE-2019-16928は、string.cに見られるstring_vformat()の欠陥によるヒープバッファオーバーフローの脆弱性です。バグレポートに記載されてあるとおり、ストリングの長さが適切に構成されていないという単純なコーディングエラーが原因で、バッファオーバーフローにつながるものです。この欠陥は、メールを受信するEximのプロセスをクラッシュさせる、大きく手の込んだ拡張HELO (EHLO) ストリングを使用できるリモート攻撃者が悪用できるものです。これはさらに悪用され、ホストに対する任意コード実行に発展する可能性もあります。この欠陥は、パッチを提出したQAX A-Teamにより、社内で発見されました。しかし、このバグの悪用は容易であり、攻撃者が近い将来、活発に抜け穴を探し、脆弱性なExim MTAシステムへの攻撃を開始する可能性は高いと言えます。
概念実証
今回のパッチの一部として、影響を受けたEximサーバーで欠陥を悪用し、サービス拒否(DoS)を生じさせることができる概念実証(PoC)が利用可能となっています。
ソリューション
Eximのチームは、CVE-2019-16928に対応するために、9月29日にバージョン 4.92.3をリリースしました。管理者は、できるだけ早期にアップグレードするよう推奨されています。今回はMitigation Patchはありません。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
Scott Caveza
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Scott Caveza は 2012 年に Nessus プラグインチームのリサーチエンジニアとして Tenable に入社しました。 長年にわたって Nessus のために数百ものプラグインを作成し、プラグインチームのチームリーダーやマネージャーとして、さらに多くのプラグインのコードをレビューしてきました。 Scott は以前はセキュリティレスポンスチームとゼロデイ調査チームを率いていましたが、現在はセキュリティレスポンスチームのメンバーとして、リサーチ組織が最新の脅威に対応できるように支援しています。 前職では大手ドメイン登録事業者およびウェブホスティングプロバイダーのセキュリティプロバイダーセンター (SOC) の業務に携わり、業界経験は10年を超えています。 現在は CISSP であり、GIAC GWAPT ウェブアプリケーションペネトレーションテスターの有効な資格を積極的に取得しています。
プライベートの時間には... Scott は家族と過ごす時間、キャンプ、釣り、アウトドアを楽しんでいます。 ウェブアプリケーションの脆弱性を見つけることや家のリノベーション計画も趣味としています。
関連記事
Volt Typhoon: What State and Local Government Officials Need to Know
Increased activity from the state-sponsored threat group Volt Typhoon raises concerns about the cybersecurity of U.S. critical infrastructure. Here’s how you can identify potential exposures and attack paths....
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on...
Detecting Risky Third-party Drivers on Windows Assets
Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers....
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning