이메일 서버, Exim TLS 결함으로 원격 'Root' 코드 실행 공격에 노출돼

Exim TLS Flaw Opens Email Servers to Remote 'Root' Code Execution Attacks

인기 있는 오픈 소스인 Exim 이메일 서버 소프트웨어에서 치명적인 원격 코드 실행 취약점이 발견되었습니다.

이 취약점으로 인해 최소 50만 대의 이메일 서버가 해커에게 공격당할 위험에 처했습니다.

이 취약점은 Exim 이메일 서버 소프트웨어 4.92.1 및 이전 버전에 영향을 미칩니다. 

Exim 관리자들은 각 기업의 시스템 관리자들이 해당 취약점에 대비할 수 있도록 이에 대해 경고한 후  Exim 버전 4.92.2를 공개했습니다. 

▶ Exim Internet Mailer - Latest Version: 4.92.2

Exim은 Linux, Mac OSX, Solaris 등 유닉스 계열 운영체제 용으로 제작되었으며, 널리 사용되는 오픈소스 메일 전송 에이전트(MTA) 소프트웨어입니다.

이 소프트웨어는 인터넷 이메일 서버의 약 60%에서 실행되며 이메일 메시지 라우팅, 전달 및 수신에 사용됩니다.

CVE-2019-15846로 등록된 이 보안 취약점은 TLS 연결을 수락하는 Exim 서버에만 영향을 미칩니다.

해당 취약점을 공격자가 악용할 경우 초기 TLS 핸드셰이크 중 Backslash-null 시퀀스의 끝에 SNI를 보내는 방식으로 시스템 루트 레벨 접근할 수 있는 권한을 얻을 수 있습니다.

SNI(Server Name Indication)는 TLS 프로토콜의 확장 형태로 서버가 여러 사이트에 사용되는 TLS 인증서 다수를 단일 IP 주소에서 안전하게 호스팅할 수 있도록 합니다.

Exim에 따르면 이 취약점은 서버가 사용하는 TLS 라이브러리에만 의존하지 않기 때문에 GnuTLS와 OpenSSL 모두 영향을 받는다고 전했습니다.

또한 Exim 메일 서버 소프트웨어의 디폴트 설정에 TLS가 활성화되어있지 않지만, 일부 OS에서는 Exim의 취약한 기능이 디폴트로 활성화되어 제공되었습니다.

Exim 메일 서버를 사용하고 있다면, 최신 Exim 4.92.2 버전을 즉시 설치할 것을 권장드립니다. 

최신 버전으로 업데이트가 불가능한 경우, Exim 서버에서 TLS 연결을 허용하지 않도록 하여 문제를 완화할 수 있습니다.

Exim은 최신 버전을 설치할 수 없을 경우, 패키지 관리자에게 백포트 픽스가 포함된 버전을 요청할 수 있으며, 사용자가 픽스를 백포팅하도록 지원할 것이라고 밝혔습니다.

출처:

https://thehackernews.com/2019/09/exim-email-server-vulnerability.html

https://www.openwall.com/lists/oss-security/2019/09/04/1