พบช่องโหว่ร้ายแรงบน Exim เวอร์ชัน 4.80 – 4.92.1 ที่เปิดใช้ TLS แนะเร่งอัปเดต

ผู้เชี่ยวชาญพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการ Remote Code Execution บนซอฟต์แวร์ Exim Mail Transfer Agent (MTA) ตั้งแต่เวอร์ชัน 4.80 – 4.92.1 ที่เปิดรับการเชื่อมต่อของ TLS จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตเป็นเวอร์ชัน 4.92.2 โดยทันที

Credit: ShutterStock.com

ช่องโหว่หมายเลข CVE-2019-15846 ถูกรายงานโดย Zerons และวิเคราะห์จาก Qualys ซึ่งพบว่าผู้โจมตีสามารถส่ง SNI ที่ต่อท้ายด้วย Blackslash-null ระหว่างการทำ TLS Handshake เพื่อนำไปสู่การ Remote Code Execution ในสิทธิ์ระดับ Root บนเซิร์ฟเวอร์ 

โดย SNI ย่อมาจาก Server Name Indicator หรือส่วนขยายของ TLS ที่ทำให้เซิฟร์เวอร์ตัวเดียว (IP และ Port เดียวกัน) สามารถแสดง Certificate หลายใบได้ หรือพูดง่ายๆ ว่าเซิร์ฟเวอร์ที่โฮสต์ให้หลายเว็บไซต์ 

ทั้งนี้ในส่วนของผลกระทบนั้นจะเกิดกับ Exim ในเวอร์ชัน 4.80 – 4.92.1 เฉพาะที่เปิดรองรับ TLS เท่านั้น ซึ่งโดยปกติแล้วจะไม่ถูกเปิดเป็น Default Configuration แต่ก็มี Linux บางเวอร์ชันที่เปิดมาให้แล้ว ดังนั้นผู้ใช้งานก็ควรศึกษาเพิ่มเติม อย่างไรก็ตามสำหรับการป้องกันที่ดีที่สุดคือการอัปเดตแพตช์ในเวอร์ชัน 4.92.2 แต่หากยังไม่สะดวกก็สามารถเพิ่ม ACL ใน acl_smtp_mail เพื่อตรวจสอบ peer DN และ SNI ได้ดังนี้

  • deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
  • deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

โดยจากผลสำรวจคาดว่าจะมีเซิร์ฟเวอร์ MX ที่ได้รับผลกระทบจากช่องโหว่ในครั้งนี้ถึงหลายหมื่นหรือแสนตัวเลยทีเดียว และถึงแม้ว่าจะยังไม่มีรายการการโจมตีแต่ผู้ดูแลระบบทุกท่านก็ควรเร่งอัปเดตครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร