인터넷 이메일 서버의 절반에 영향을 미치는 Exim 취약점(CVE-2018-6789) 발견!

Vulnerability Affects Half of the Internet's Email Servers

수 십만대의 이메일 서버에 영향을 미치는 치명적인 취약점이 발견 되었습니다. 이 취약점은 인터넷 이메일 서버의 절반 이상에 영향을 미치며, 패치는 이미 공개 된 상태이지만 적용하는데 몇 주, 또는 몇 달 이상이 소요 될 것으로 보입니다.

이 취약점은 이메일을 송신자로부터 수신자에게 전달해주는 이메일 서버에서 실행 되는 소프트웨어(MTA – mail transfer agent)인 Exim에 존재합니다.

2017년 3월 실시 된 설문 조사에 따르면, 모든 인터넷 이메일 서버의 56%가 Exim을 사용하고 있는 것으로 나타났습니다. 당시 560,000대 이상이 온라인에서 사용 가능했습니다.

최근 발표 된 또 다른 보고서는, 서버의 수가 수 백만 대에 달한다고 밝혔습니다.

이 버그로 인해 원격 코드 실행 가능해져

이 버그를 발견한 연구원은, 지난 2월 2일 Exim 측에 버그를 제보했습니다. Exim은 원격 코드 실행 취약점을 수정한 4.90.1 버전을 지난 2월 10일 공개했습니다.

CVE-2018-6789로 등록 된 이 버그는 “선승인 원격 코드 실행”으로 분류 되었습니다. 이는 공격자가 서버에서 인증하기 전에 Exim 이메일 서버가 악성 명령어를 실행하도록 속일 수 있다는 의미입니다.

실제 버그는 Exim의 Base64 디코드 기능에 존재하는 1바이트 버퍼 오버플로우이며 지금까지 공개 된 모든 Exim 버전에 영향을 줍니다.

PoC, 익스플로잇 코드는 공개 되지 않아

Exim팀은 보안 공지를 통해 이 문제를 공개적으로 인정했습니다. 그들은 “이 문제의 심각도는 정확히 알 수 없으나, 우리는 버그 악용이 어려울 것으로 추측하고 있습니다. 이 버그를 완화할 수 있는 방법은 현재까지 알려지지 않았습니다.”라고 밝혔습니다.

Exim 4.90.1이 출시 된 후, 업데이트 된 Exim 버전은 주로 데이터센터에서 사용 되는 리눅스 배포판에는 적용 되었지만, 아직까지 온라인인 패치 되지 않은 시스템의 수는 알 수 없습니다. 

Exim은 가장 인기있는 메일 에이전트 중 하나이며, CVE-2018-6789는 여러가지 공격에 악용될 수 있으므로 Exim 서버 사용자라면 업데이트를 최대한 빨리 적용해야 할 것입니다.

아직까지 취약한 Exim 서버를 공격할 수 있는 익스플로잇 코드는 공개 되지 않았지만, 연구원은 빠른 시일 내에 공개 될 것으로 추측했습니다.

출처 :

https://www.bleepingcomputer.com/news/security/vulnerability-affects-half-of-the-internets-email-servers/