Last Updated on 2024-06-19 18:04 by 荒木 啓介
Mailcowのオープンソースメールサーバースイートにおいて、リモートから任意のコードを実行可能にする2つのセキュリティ脆弱性が公開された。これらの問題は、2024年4月4日にリリースされたバージョン2024-04以前のすべてのバージョンに影響を与える。これらの脆弱性は、2024年3月22日にSonarSourceによって責任を持って公開された。
最初の脆弱性はCVE-2024-30270(CVSSスコア:6.7)であり、”rspamd_maps()”という関数に影響するパストラバーサルの脆弱性である。これにより、攻撃者は”www-data”ユーザーで変更可能な任意のファイルを上書きし、サーバー上で任意のコマンドを実行することが可能になる。
二つ目の脆弱性はCVE-2024-31204(CVSSスコア:6.8)であり、DEV_MODEで動作していない場合の例外処理メカニズムを介したクロスサイトスクリプティング(XSS)の脆弱性である。この脆弱性は、例外の詳細をサニタイズやエンコードせずに保存し、それがHTMLにレンダリングされてユーザーのブラウザ内でJavaScriptとして実行されるため、攻撃者は特別に作成された入力で例外をトリガーすることにより、管理パネルに悪意のあるスクリプトを注入し、管理者のコンテキストで特権アクションを実行することが可能になる。
理論的な攻撃シナリオでは、攻撃者はリモートURLから読み込まれるCSS背景画像を含むHTMLメールを作成し、それを使用してXSSペイロードの実行をトリガーすることができる。SonarSourceの脆弱性研究者Paul Gersteは、「攻撃者はこれら2つの脆弱性を組み合わせて、脆弱なmailcowインスタンスの管理パネルサーバー上で任意のコードを実行することができる」と述べている。この攻撃を成功させるためには、管理ユーザーが管理パネルにログインした状態で悪意のあるメールを閲覧する必要があり、メール内のリンクをクリックするなどの追加の操作を行う必要はない。
【ニュース解説】
Mailcowのオープンソースメールサーバースイートにおいて、リモートから任意のコードを実行可能にする2つのセキュリティ脆弱性が発見されました。これらの脆弱性は、2024年4月4日にリリースされたバージョン2024-04以前のすべてのバージョンに影響を及ぼし、SonarSourceによって2024年3月22日に責任を持って公開されました。
最初の脆弱性(CVE-2024-30270、CVSSスコア:6.7)は、”rspamd_maps()”という関数に関連するパストラバーサルの問題で、攻撃者が”www-data”ユーザーで変更可能な任意のファイルを上書きし、サーバー上で任意のコマンドを実行することを可能にします。
二つ目の脆弱性(CVE-2024-31204、CVSSスコア:6.8)は、DEV_MODEで動作していない場合の例外処理メカニズムを介したクロスサイトスクリプティング(XSS)の問題です。この問題は、例外の詳細をサニタイズやエンコードせずに保存し、それがHTMLにレンダリングされてユーザーのブラウザ内でJavaScriptとして実行されるため、攻撃者が管理パネルに悪意のあるスクリプトを注入し、管理者の権限で特権アクションを実行することを可能にします。
これらの脆弱性を組み合わせることにより、攻撃者は管理パネルサーバー上で任意のコードを実行し、脆弱なmailcowインスタンスのアカウントを乗っ取り、機密データにアクセスすることが可能になります。特に、管理ユーザーが管理パネルにログインした状態で悪意のあるメールを閲覧するだけで、攻撃が成功する可能性があります。
この発見は、メールサーバーのセキュリティにおける重要な警告となります。メールサーバーは組織のコミュニケーションの中心であり、機密情報が頻繁にやり取りされるため、セキュリティの脆弱性は深刻な影響を及ぼす可能性があります。このような脆弱性が悪用されることにより、不正アクセス、データ漏洩、さらにはサーバーの完全な制御権を奪われるリスクがあります。
この問題に対処するためには、Mailcowのユーザーは速やかに最新バージョンへのアップデートを行うことが推奨されます。また、開発者やシステム管理者は、ソフトウェアのセキュリティを継続的に監視し、脆弱性が発見され次第、迅速に対応することが重要です。このようなセキュリティの脆弱性は、組織にとって重大なリスクをもたらすため、適切なセキュリティ対策と意識の向上が不可欠です。
from Mailcow Mail Server Flaws Expose Servers to Remote Code Execution.
