Haavoittuvuus SMTP-protokollan toteutuksessa useissa eri sähköpostiohjelmistoissa
Haavoittuvuus1/2024CVE-2023-51764, CVE-2023-51765, CVE-2023-51766 (Ulkoinen linkki)
Vuoden 2023 lopulla SMTP-protokollan useisiin toteutuksiin julkaistiin nollapäivähaavoittuvuus. Haavoittuvuutta hyödyntämällä uhkatoimijat voivat väärinkäyttää haavoittuvia SMTP-palvelimia maailmanlaajuisesti lähettääkseen haitallisia sähköposteja mielivaltaisista sähköpostiosoitteista, mikä mahdollistaa mm. kohdistettuja tietojenkalasteluhyökkäyksiä. Haavoittuvuus koskee SMTP-ohjelmistoista ainakin Postfixiä, Sendmailia ja Eximiä.
SMTP-salakuljetushaavoittuvuus (SMTP smuggling) perustuu sähköpostipalvelinten SMTP-protokollan vaihtelevaan tulkintaan ja toteutukseen. Osa sähköpostipalvelimista merkitsee ja tulkitsee eri tavoin tiedon siirron päättymisestä, mikä voi mahdollistaa toisen sähköpostiviestin lähettämisen saman SMTP-yhteyden aikana eli "salakuljettamisen" sähköpostiviestin vastaanottavalle SMTP-palvelimelle.
Protokollan mukaan (RFC 5321, 4.1.1.4 (Ulkoinen linkki)) lähettävän palvelimen kuuluu ilmoittaa viestin loppu merkein <CR><LF>.<CR><LF>. Kuitenkin joissakin toteutuksissa on käytetty myös muita tapoja merkitä viestin loppua, kuten <LF>.<LF> tai <LF>.<CR><LF>, jotka osa ohjelmistoista on yhteensopivuuden vuoksi hyväksynyt.
Haavoittuvuuden avulla uhkatoimija voi salakuljettaa oman sähköpostiviestinsä palvelimelle niin, että se näyttää saapuneen luotettavan sähköpostipalvelimen kautta. Tällä tavoin SMTP-salakuljetettu sähköpostiviesti pääsee läpi SPF- (Sender Policy Framework), DKIM- (DomainKeys Identified Mail) ja DMARC- (Domain-based Message Authentication, Reporting and Conformance) suojauksista, koska se vaikuttaa tulevan luotettavasta lähteestä.
Haavoittuvia SMTP-palvelinohjelmistoja ovat olleet haavoittuvuuden havaintohetkellä ainakin:
- Postfix (Ulkoinen linkki) (CVE-2023-51764)
- Sendmail (Ulkoinen linkki) (CVE-2023-51765)
- Exim (Ulkoinen linkki)(CVE-2023-51766)
Lisäksi haavoittuvuus on koskenut ainakin seuraavia laitteita ja palveluita:
- Microsoft Exchange Online. Korjattu arviolta 10/2023.
- Cisco Secure Email Gateway (Ulkoinen linkki). Cisco Secure Email Gateway ja Cisco Secure Email Cloud -tuotteisiin korjaavaa päivitystä ei ole saatavilla, vaan Cisco on suositellut konfiguraatiomuutoksia uhan lieventämiseksi.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
Vaikutukset
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
| Haavoittuva ohjelmisto | Korjattu versiossa | Lisätietoja ja mitigointiohjeita |
| Postfix | 3.8.4, 3.7.9, 3.6.13, 3.5.23 | Pysyvämpi korjaus on versiosta 3.9 lainattu ominaisuus, joka ei ole oletuksena käytössä. Sekä korjaus että mitigointi vaativat päivityksen lisäksi asetusmuutoksia; ks. https://www.postfix.org/smtp-smuggling.html (Ulkoinen linkki) |
| Sendmail | 8.18.0.2 | Lisätietoja https://nvd.nist.gov/vuln/detail/CVE-2023-51765 (Ulkoinen linkki) ja https://bugzilla.redhat.com/show_bug.cgi?id=2255870 (Ulkoinen linkki) |
| Exim | 4.98, 4.97.1 | Lisätietoja ja linkkejä mitigointiohjeisiin https://nvd.nist.gov/vuln/detail/CVE-2023-51766 (Ulkoinen linkki) |