พบช่องโหว่ร้ายแรงบน Exim เวอร์ชัน 4.80 – 4.92.1 ที่เปิดใช้ TLS แนะเร่งอัปเดต

ผู้เชี่ยวชาญพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการ Remote Code Execution บนซอฟต์แวร์ Exim Mail Transfer Agent (MTA) ตั้งแต่เวอร์ชัน 4.80 – 4.92.1 ที่เปิดรับการเชื่อมต่อของ TLS จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตเป็นเวอร์ชัน 4.92.2 โดยทันที

ช่องโหว่หมายเลข CVE-2019-15846 ถูกรายงานโดย Zerons และวิเคราะห์จาก Qualys ซึ่งพบว่าผู้โจมตีสามารถส่ง SNI ที่ต่อท้ายด้วย Blackslash-null ระหว่างการทำ TLS Handshake เพื่อนำไปสู่การ Remote Code Execution ในสิทธิ์ระดับ Root บนเซิร์ฟเวอร์ 

โดย SNI ย่อมาจาก Server Name Indicator หรือส่วนขยายของ TLS ที่ทำให้เซิฟร์เวอร์ตัวเดียว (IP และ Port เดียวกัน) สามารถแสดง Certificate หลายใบได้ หรือพูดง่ายๆ ว่าเซิร์ฟเวอร์ที่โฮสต์ให้หลายเว็บไซต์ 

ทั้งนี้ในส่วนของผลกระทบนั้นจะเกิดกับ Exim ในเวอร์ชัน 4.80 – 4.92.1 เฉพาะที่เปิดรองรับ TLS เท่านั้น ซึ่งโดยปกติแล้วจะไม่ถูกเปิดเป็น Default Configuration แต่ก็มี Linux บางเวอร์ชันที่เปิดมาให้แล้ว ดังนั้นผู้ใช้งานก็ควรศึกษาเพิ่มเติม อย่างไรก็ตามสำหรับการป้องกันที่ดีที่สุดคือการอัปเดตแพตช์ในเวอร์ชัน 4.92.2 แต่หากยังไม่สะดวกก็สามารถเพิ่ม ACL ใน acl_smtp_mail เพื่อตรวจสอบ peer DN และ SNI ได้ดังนี้

• deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
• deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

โดยจากผลสำรวจคาดว่าจะมีเซิร์ฟเวอร์ MX ที่ได้รับผลกระทบจากช่องโหว่ในครั้งนี้ถึงหลายหมื่นหรือแสนตัวเลยทีเดียว และถึงแม้ว่าจะยังไม่มีรายการการโจมตีแต่ผู้ดูแลระบบทุกท่านก็ควรเร่งอัปเดตครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/