Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보기업용 오픈소스 웹메일에서 0-day 취약점 다수 발견
작성일 2019-05-23 조회 1859

 

 

기업용 오픈소스 웹메일에서 Cross Site Scipt취약점, CSRF취약점, SQL Injection취약점 등이 다수 발견되었습니다.
취약한 제품은 HORDE Groupware (https://www.horde.org) 로 다수의 국내외 기업에서 웹메일로 사용하고 있습니다.

 

[그림. 1] Google 검색만으로 온라인 상에 공개된 다수의 웹메일 서버 로그인 페이지

 

 

중요한 것은 현재 2017년 9월 21일 마지막 업데이트 이후 해당 취약점에 대한 패치는 발표를 하고 있지 않습니다.
그러므로 해당 웹서버를 사용중인 기업에서는 시급하게 메일시스템을 점검 및 교체 하시기 바랍니다.

 

[그림. 2] 2017-09-21 마지막으로 업데이트 된 패치 (Horde Groupware Webmail Edition 5.2.22)

 


호드 그룹웨어 웹 메일 에디션은 기업용으로 준비된 무료 브라우저 기반 통신 제품군입니다. 사용자는 호드 프로젝트 의 표준 준수 구성 요소 를 사용하여 전자 메일 메시지를 읽고, 보내고, 구성하고, 일정, 연락처, 작업, 메모, 파일 및 책갈피를 관리하고 공유 할 수 있습니다. 

 

[그림. 3] Portal 화면

 

 

호드 그룹웨어 웹 메일 에디션은 IMP , Ingo , Kronolith , Turba , Nag , Mnemo , Gollem 및 Trean 과 같이 개별적으로 사용 가능한 응용 프로그램을 번들로 제공합니다 .
릴리스 된 호드 응용 프로그램 이나 북마크 관리자 나 파일 관리자와 같이 아직 개발중인 응용 프로그램 으로 확장 할 수 있습니다 .

 

[그림. 4] Webmail Interface

 

 

호드 그룹웨어 웹 메일 에디션의 추가 기능은 다음과 같습니다.

웹 메일
IMAP 및 POP3 웹 메일 클라이언트
3 분할 창 및 3 열 레이아웃
메시지 필터링
메시지 검색
WYSIWIG 편집기로 HTML 메시지 작성
맞춤법 검사
첨부 파일 뷰어 내장
메시지 암호화 및 서명 (S / MIME 및 PGP)
할당량 지원
키보드 탐색
폴더 이름 및 전자 메일 메시지에 대한 전체 문자 집합 지원
대화 목록의 모든 메시지 대화보기
우편 첨부 파일을 ZIP 파일로 다운로드
유연하고 개별적인 별칭 주소
IMAP 폴더 구독
공유 IMAP 폴더
그래픽 이모티콘
메일 링리스트 헤더 지원
한 번에 여러 메시지 전달
링크로 보낸 첨부 파일

 

[그림 .5] 필터링 인터페이스

 

 

 

 

► CVE-2019-12094, CVE-2019-12095 취약점 분석

 

5월 17일 발표된 Horde Webmail 취약점은 Cross Site Scipt, CSRF, SQL Injection, 악성코드 실행등을 가능하게 합니다.

 

공격에 사용되는 파일은 총 3개입니다.

# CSRF와 XSS 취약점을 가지고 있는 웹페이지를 공격서버에 호스팅 (index.html)
# 사용자 Email 정보를 탈취하고 공격자에게 전송 (stealer.js)
# 사용자 Email 정보를 수집 (stealer.php)


(1) 공격자는 horde 웹메일을 사용중인 사용자에게 피싱 메일을 전송

[그림. 6] 페이스북 계정이 유출됐다는 내용의 피싱 메일 (악성 URL로 유도)

 

 

(2) 사용자가 악성 URL 접속시 treanBookmarkTags 취약점을 이용해 공격자 서버의 악성 JS파일이 다운로드 및 실행

[그림. 7] treanBookmarkTags를 조작해 stealer.js파일을 다운 및 실행

 

 

(3) stealer.php는 inbox에 존재하는 메일정보를 수집

[그림. 8] inbox 정보를 수집해 inbox.txt에 저장

 

 

(4) 수집된 정보는 stealer.js에 의해 공격자의 서버에 inbox.txt 정보를 전송

[그림. 9] inbox.txt를 공격자 서버에 전송

 

 

위와 같은 방법을 이용해 사내의 모든 계정의 inbox(웹메일) 정보를 탈취 가능합니다.


또한 공격자는 horde 서버에 직접적으로 취약한 요청을 전송해, XSS를 삽입하거나, 계정 권한 변경 작업이 가능한 SQL Injection을 시도할 수 있다.

# http://webmail.victimserver.com/groupware/admin/user.php?user_name=XSS-PAYLOAD-HERE&form=update_f
# http://webmailvictimserver.com/groupware/admin/user.php?user_name=XSS-PAYLOAD-HERE&form=remove_f
# http://webmail.victimserver.com/groupware/admin/config/diff.php?app=XSS-PAYLOAD-HERE

 

 

공격 시연 영상

 


현재 해당 취약점에 대한 패치가 이루어지지 않았으므로, 웹메일 관리자는 신속하게 대체 시스템을 강구해야 합니다.

 

 

 


► 취약한 버전

 

Horde Webmail Up to v5.2.22

 


► 윈스 대응 방안

 

Sniper-IPS

[4787] Horde Webmail view.php actionID Mail Info Leak
[4788] Horde Webmail treanBookmarkTags CSRF
[4789] Horde Webmail groupware user.php Reflected XSS
[4790] Horde Webmail groupware user.php Reflected XSS.A

Sniper-UTM

[805374910] Horde Webmail view.php actionID Mail Info Leak
[805374911] Horde Webmail treanBookmarkTags CSRF
[805374912] Horde Webmail groupware user.php Reflected XSS
[805374913] Horde Webmail groupware user.php Reflected XSS.A

Sniper-APTX

[4061] Horde Webmail view.php actionID Mail Info Leak
[4062] Horde Webmail treanBookmarkTags CSRF
[4063] Horde Webmail groupware user.php Reflected XSS
[4064] Horde Webmail groupware user.php Reflected XSS.A

 

 

 


► 참조 사이트


https://cxsecurity.com/issue/WLB-2019050199

첨부파일 첨부파일이 없습니다.
태그 CVE-2019-12094  CVE-2019-12095  Horde