Mailcow Mail Server Flaws Expose Servers to Remote Code Execution
2024/06/18 TheHackerNews — OSS メール・サーバ Mailcow に、2つのセキュリティ脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、影響を受けやすいインスタンス上で任意のコードを実行する可能性を持つ。どちらの脆弱性も、2024年4月4日にリリースされた 2024-04 未満の全てのバージョンに影響する。なお、それらの脆弱性は、2024年3月22日に SonarSource により公表されたものである。
![](https://iototsecnews.jp/wp-content/uploads/2024/06/mailcow.png?w=795)
脆弱性の詳細は以下の通りだ:
- CVE-2024-30270 (CVSS 6.7):”rspamd_maps()“ という関数に影響するパス・トラバーサルの脆弱性。攻撃者が ”www-data” ユーザー権限を用いて、変更可能なファイルを上書きすることで、サーバ上で任意のコマンドが実行される可能性が生じる。
- CVE-2024-31204 (CVSS 6.8):DEV_MODE で動作していない場合に生じる、例外処理メカニズムを経由した XSS (cross-site scripting) 脆弱性。
2つ目の脆弱性 CVE-2024-31204 は、例外に関する詳細がサニタイズやエンコードされずに保存され、それが HTML にレンダリングされ、ユーザーのブラウザ内で JavaScript として実行されるという問題を引き起こす。
その結果として、このシナリオを悪用する攻撃者が、特別に細工された入力で例外をトリガーすることで、管理パネルへの悪意のスクリプトの注入が可能になる。
別の言い方をすれば、2つの脆弱性の組み合わせに成功した攻撃者は、Mailcow サーバ上のアカウントを制御し、コマンドを実行するだけではなく、機密データへのアクセスも可能にな。
理論的な攻撃シナリオとして考えられるのは、リモート URL から読み込まれる、CSS 背景画像を含む HTML メールを作成する攻撃者が、それを使って XSS ペイロードを実行させる状況である。
SonarSource の脆弱性研究者である Paul Gerste のブログには、「攻撃者は、脆弱な Mailcow インスタンスの管理パネルサーバ上で任意のコードを実行するために、2つの脆弱性を組み合わせることができる。その前提として、管理者ユーザーが管理者パネルにログインしている間に、攻撃者からの悪意のメールを閲覧する必要がある。被害者となった管理者に対して、電子メール内のリンクのクリックといった操作を行わせる必要はなく、電子メールを閲覧せた後に、管理パネルを使い続けさせるだけでよい」と記されている。
Mailcow という、とても可愛らしいロゴのメール・サーバに脆弱性とのことです。ご利用のチームは、ご注意ください。どのような人たちが使うのかと思い、検索してみたところ、Qiita に面白い記事がありました。大手のクラウドに依存するのではなく、自分のデータは自分の手元に置き、End-to-End 暗号化などにより、自分と適切な受信者以外にはデータは渡さないというポリシーを持つ、人たちのためのもの、という感じです。
You must be logged in to post a comment.