PHP のライブラリである PHPMailer において、リモートより任意のコードが実行される脆弱性(CVE-2016-10033および CVE-2016-10045)の攻撃コードが発見されました。
この脆弱性は、PHPMailer を使用してメールを送信する際に、引数として使用する Sender プロパティに対しての処理が不適切であったために生じる脆弱性です。この脆弱性を利用した攻撃が成立した場合、リモートより任意のコードが実行される危険性があります。
本脆弱性の公開から修正までの経緯は次の通りです。
本脆弱性は2016年12月22日に PHPMailer 5.2.17以下を対象とする脆弱性(CVE-2016-10033)として公開されました。その後、開発元より「CVE-2016-10033」の脆弱性を修正した PHPMailer 5.2.18がリリースされましたが、同バージョンにおいても脆弱性が完全に修正されておらず、新たに「CVE-2016-10045」が採番されました。そして、2016年12月28日に「CVE-2016-10045」の脆弱性を修正した PHPMailer 5.2.20がリリースされました。
本脆弱性が公開されたのが2016年末であったため、本脆弱性を修正できていないシステム、また、「CVE-2016-10033」の修正のみを行い、脆弱性が残存している状態で運用されているシステムに対しての注意喚起の意味込めて、今回この脆弱性(CVE-2016-10033 および CVE-2016-10045)の再現性について検証を行いました。
日時 | 内容 |
---|---|
2016年12月22日 | CVE-2016-10033公開 |
2016年12月24日 | PHPMailer 5.2.18をリリース(CVE-2016-10033を修正したバージョン) |
2016年12月26日 | CVE-2016-10045公開 |
2016年12月28日 | PHPMailer 5.2.20をリリース(CVE-2016-10045を修正したバージョン) |
開発元より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性を修正した最新のバージョンを適用していただくことを推奨いたします。
CVE-2016-10033
CVE-2016-10045
JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性
GitHub – PHPMailer/changelog.m
ターゲットシステムに対して攻撃者が細工したリクエストを送信することで、PHPMailer の脆弱性を利用して任意のコードを実行。ターゲットシステムの制御を奪取します。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからターゲットシステムが操作可能となります。
*誘導先のシステムはLinuxです。
Ubuntu 14.04 + PHP 5.5.9 + PHPMailer 5.2.17
Ubuntu 14.04 + PHP 5.5.9 + PHPMailer 5.2.19
下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。一方で、赤線で囲まれている部分は、ターゲットシステム(PHPMailer 5.2.17および PHPMailer 5.2.19)において、ホスト名、ユーザーの情報、IP アドレスの情報を表示するコマンドを実行した結果が表示されています。これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。
青線で囲まれている部分はターゲットシステム内、PHPMailer を使用している PHP ファイルのソースコードを一部抜粋した結果です。上記より、使用している PHPMailer のバージョンが5.2.17であることが分かります。
青線で囲まれている部分はターゲットシステム内、PHPMailer を使用している PHP ファイルのソースコードを一部抜粋した結果です。上記より、使用している PHPMailer のバージョンが5.2.19であることが分かります。
2017年1月5日 : 初版公開
脆弱性調査レポートのメール配信を開始しました!
ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。
「脆弱性調査レポート メール」の配信登録はこちら
本件に関するお問い合わせ先
『報道関係者様からのお問い合わせ』 ソフトバンク・テクノロジー株式会社 管理本部 経営企画部 齊藤、安部、菅 メールアドレス:sbt-pr@tech.softbank.co.jp |
『お客様からのお問い合わせ』 下記問い合わせフォームよりお問い合わせください。 |