CVE-2016-10033、CVE-2016-10045 - 脆弱性調査レポート

概要

PHP のライブラリである PHPMailer において、リモートより任意のコードが実行される脆弱性（CVE-2016-10033および CVE-2016-10045）の攻撃コードが発見されました。

この脆弱性は、PHPMailer を使用してメールを送信する際に、引数として使用する Sender プロパティに対しての処理が不適切であったために生じる脆弱性です。この脆弱性を利用した攻撃が成立した場合、リモートより任意のコードが実行される危険性があります。

本脆弱性の公開から修正までの経緯は次の通りです。
本脆弱性は2016年12月22日に PHPMailer 5.2.17以下を対象とする脆弱性（CVE-2016-10033）として公開されました。その後、開発元より「CVE-2016-10033」の脆弱性を修正した PHPMailer 5.2.18がリリースされましたが、同バージョンにおいても脆弱性が完全に修正されておらず、新たに「CVE-2016-10045」が採番されました。そして、2016年12月28日に「CVE-2016-10045」の脆弱性を修正した PHPMailer 5.2.20がリリースされました。
本脆弱性が公開されたのが2016年末であったため、本脆弱性を修正できていないシステム、また、「CVE-2016-10033」の修正のみを行い、脆弱性が残存している状態で運用されているシステムに対しての注意喚起の意味込めて、今回この脆弱性（CVE-2016-10033 および CVE-2016-10045）の再現性について検証を行いました。

経緯

影響を受ける可能性があるシステム

• CVE-2016-10033
• PHPMailer 5.2.18未満のバージョン


• CVE-2016-10045
• PHPMailer 5.2.20未満のバージョン

対策案

開発元より、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性を修正した最新のバージョンを適用していただくことを推奨いたします。

参考サイト

CVE-2016-10033
CVE-2016-10045
JVNVU#99931177 PHPMailer に OS コマンドインジェクションの脆弱性
GitHub – PHPMailer/changelog.m

検証概要

ターゲットシステムに対して攻撃者が細工したリクエストを送信することで、PHPMailer の脆弱性を利用して任意のコードを実行。ターゲットシステムの制御を奪取します。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからターゲットシステムが操作可能となります。
*誘導先のシステムはLinuxです。

検証ターゲットシステム

Ubuntu 14.04 +　PHP 5.5.9 + PHPMailer 5.2.17
Ubuntu 14.04 +　PHP 5.5.9 + PHPMailer 5.2.19

検証イメージ

検証結果

下図は、誘導先のコンピュータ（Linux）の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。一方で、赤線で囲まれている部分は、ターゲットシステム（PHPMailer 5.2.17および PHPMailer 5.2.19）において、ホスト名、ユーザーの情報、IP アドレスの情報を表示するコマンドを実行した結果が表示されています。これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。

青線で囲まれている部分はターゲットシステム内、PHPMailer を使用している PHP ファイルのソースコードを一部抜粋した結果です。上記より、使用している PHPMailer のバージョンが5.2.17であることが分かります。

青線で囲まれている部分はターゲットシステム内、PHPMailer を使用している PHP ファイルのソースコードを一部抜粋した結果です。上記より、使用している PHPMailer のバージョンが5.2.19であることが分かります。

更新履歴

2017年1月5日　：　初版公開

• PDF 版はこちら