기업용 오픈소스 웹메일에서 Cross Site Scipt취약점, CSRF취약점, SQL Injection취약점 등이 다수 발견되었습니다.
취약한 제품은 HORDE Groupware (https://www.horde.org) 로 다수의 국내외 기업에서 웹메일로 사용하고 있습니다.

[그림. 1] Google 검색만으로 온라인 상에 공개된 다수의 웹메일 서버 로그인 페이지

중요한 것은 현재 2017년 9월 21일 마지막 업데이트 이후 해당 취약점에 대한 패치는 발표를 하고 있지 않습니다.
그러므로 해당 웹서버를 사용중인 기업에서는 시급하게 메일시스템을 점검 및 교체 하시기 바랍니다.

[그림. 2] 2017-09-21 마지막으로 업데이트 된 패치 (Horde Groupware Webmail Edition 5.2.22)

호드 그룹웨어 웹 메일 에디션은 기업용으로 준비된 무료 브라우저 기반 통신 제품군입니다. 사용자는 호드 프로젝트 의 표준 준수 구성 요소 를 사용하여 전자 메일 메시지를 읽고, 보내고, 구성하고, 일정, 연락처, 작업, 메모, 파일 및 책갈피를 관리하고 공유 할 수 있습니다. 

[그림. 3] Portal 화면

호드 그룹웨어 웹 메일 에디션은 IMP , Ingo , Kronolith , Turba , Nag , Mnemo , Gollem 및 Trean 과 같이 개별적으로 사용 가능한 응용 프로그램을 번들로 제공합니다 .
릴리스 된 호드 응용 프로그램 이나 북마크 관리자 나 파일 관리자와 같이 아직 개발중인 응용 프로그램 으로 확장 할 수 있습니다 .

[그림. 4] Webmail Interface

호드 그룹웨어 웹 메일 에디션의 추가 기능은 다음과 같습니다.

[그림 .5] 필터링 인터페이스

► CVE-2019-12094, CVE-2019-12095 취약점 분석

5월 17일 발표된 Horde Webmail 취약점은 Cross Site Scipt, CSRF, SQL Injection, 악성코드 실행등을 가능하게 합니다.

공격에 사용되는 파일은 총 3개입니다.

(1) 공격자는 horde 웹메일을 사용중인 사용자에게 피싱 메일을 전송

[그림. 6] 페이스북 계정이 유출됐다는 내용의 피싱 메일 (악성 URL로 유도)

(2) 사용자가 악성 URL 접속시 treanBookmarkTags 취약점을 이용해 공격자 서버의 악성 JS파일이 다운로드 및 실행

[그림. 7] treanBookmarkTags를 조작해 stealer.js파일을 다운 및 실행

(3) stealer.php는 inbox에 존재하는 메일정보를 수집

[그림. 8] inbox 정보를 수집해 inbox.txt에 저장

(4) 수집된 정보는 stealer.js에 의해 공격자의 서버에 inbox.txt 정보를 전송

[그림. 9] inbox.txt를 공격자 서버에 전송

위와 같은 방법을 이용해 사내의 모든 계정의 inbox(웹메일) 정보를 탈취 가능합니다.

또한 공격자는 horde 서버에 직접적으로 취약한 요청을 전송해, XSS를 삽입하거나, 계정 권한 변경 작업이 가능한 SQL Injection을 시도할 수 있다.

공격 시연 영상

현재 해당 취약점에 대한 패치가 이루어지지 않았으므로, 웹메일 관리자는 신속하게 대체 시스템을 강구해야 합니다.

► 취약한 버전

Horde Webmail Up to v5.2.22

► 윈스 대응 방안

Sniper-IPS

Sniper-UTM

Sniper-APTX

► 참조 사이트

https://cxsecurity.com/issue/WLB-2019050199