Компания Roundcube, провайдер ПО с открытым исходным кодом для веб-почты, выпустила обновление, закрыв уязвимость, которая проявляется при дефолтных настройках и позволяет исполнить произвольный код в хост-системе. Эта брешь весьма опасна, так как эксплойт относительно прост и открывает возможность для доступа к учетным записям или дальнейшего проникновения в сеть.

Этот баг обнаружили исследователи из немецкой компании RIPS Technologies, специализирующейся на вопросах безопасности PHP-приложений. Соответствующий отчет был направлен разработчику 21 ноября, на следующий день исправление появилось на GitHub, а обновленная версия софта стала доступной 28 ноября. Уязвимыми являются версии с 1.0 по 1.2.2, пользователям рекомендуется перейти на 1.2.3.

В записи, опубликованной в блоге RIPS в минувший вторник, исследователь Робин Пералье (Robin Peraglie) пояснил, что дефолтные настройки Roundcube создают возможности для успешного эксплойта. Конфигурация Roundcube допускает использование PHP-функции mail() для отправки писем, которая в этом случае по умолчанию осуществляется при отключенном режиме safe mode. Атакующему при этом должен быть известен абсолютный путь к webroot.

«Все условия созданы по умолчанию, — комментирует для Threatpost директор RIPS по ИБ Хендрик Бухвальд (Hendrik Buchwald). — Стоит просто установить Roundcube, и вы уязвимы. Чтобы исправить ситуацию, придется активно менять конфигурацию. Это общее место, таким условиям отвечают, вероятно, десятки или даже сотни тысяч установок».

Причиной возникновения уязвимости, со слов Бухвальда, является неадекватная санация данных, вводимых пользователем, а именно пятого параметра для mail(). «Это позволяет атакующему модифицировать опции командной строки для программы, используемой при отправке писем», — говорит эксперт.

Пералье в блог-записи отметил, что уязвимость можно использовать для загрузки вредоносного файла PHP в webroot-директорию сервера.

«Использование данной уязвимости предполагает наличие email-аккаунта в целевой системе, так как для запуска эксплойта нужно написать письмо, — рассказывает Бухвальд. — Атакующий может уже иметь учетную запись (организации, компании, учебного заведения, бесплатной почты и т.п.) или украсть регистрационные данные (перебором по словарю, с помощью троянца и т.д.). Все, что нужно для атаки, — это просто написать письмо и указать обратный адрес. Это позволит создавать произвольные файлы в целевой системе. Если атакующий имеет возможность создать PHP-файл, он сможет выполнять системные команды, добираться до других систем в сети, читать чужие письма и т.п.».

Пералье со своей стороны высоко оценил усилия Roundcube-сообщества по повышению безопасности сервиса (согласно статистике Sourceforge, за истекший год этот софт был скачан более 221 тыс. раз) и отметил, что проблема с пятым параметром — довольно редкое явление. «Эта уязвимость — большая редкость, так как пятый параметр mail() используется нечасто, и случаев его неправильного применения широко используемым софтом известно мало», — подтвердил Бухвальд.

Категории: Уязвимости