이 취약점은 이메일을 송신자로부터 수신자에게 전달해주는 이메일 서버에서 실행 되는 소프트웨어(MTA-mail transfer agent)인 Exim에 존재한다.
2017년 3월 실시 된 설문 조사에 따르면, 모든 인터넷 이메일 서버의 56%가 Exim을 사용하고 있는 것으로 나타났다. 당시 56만대 이상이 온라인에서 사용 가능했다.
최근 발표 된 또 다른 보고서를 보면, 서버의 수가 수 백만 대에 달한다고 밝혔다.
이 버그를 발견한 연구원은 지난 2월 2일 Exim 측에 버그를 제보했다. Exim은 원격 코드 실행 취약점을 수정한 4.90.1 버전을 지난 2월 10일 공개했다.
CVE-2018-6789로 등록 된 이 버그는 “선승인 원격 코드 실행”으로 분류 되었다. 이는 공격자가 서버에서 인증하기 전에 Exim 이메일 서버가 악성 명령어를 실행하도록 속일 수 있다는 의미다.
실제 버그는 Exim의 Base64 디코드 기능에 존재하는 1바이트 버퍼 오버플로우이며 지금까지 공개 된 모든 Exim 버전에 영향을 준다.
Exim팀은 보안 공지를 통해 이 문제를 공개적으로 인정했다. 그들은 “이 문제의 심각도는 정확히 알 수 없지만, 우리는 버그 악용이 어려울 것으로 추측하고 있다. 이 버그를 완화할 수 있는 방법은 현재까지 알려지지 않았다”라고 밝혔다.
Exim 4.90.1이 출시 된 후, 업데이트 된 Exim 버전은 주로 데이터센터에서 사용 되는 리눅스 배포판에는 적용 되었지만, 아직까지 패치 되지 않은 시스템의 수는 알 수 없다.
Exim은 가장 인기있는 메일 에이전트 중 하나다. CVE-2018-6789는 여러가지 공격에 악용될 수 있으므로 Exim 서버 사용자라면 업데이트를 최대한 빨리 적용해야 한다.
아직까지 취약한 Exim 서버를 공격할 수 있는 익스플로잇 코드는 공개 되지 않았지만, 연구원은 빠른 시일 내에 공개 될 것으로 추측했다. 국내에서도 이에 대한 각별한 주의가 요구된다. [정보. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★
