Haavoittuvuus SMTP-protokollan toteutuksessa useissa eri sähköpostiohjelmistoissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Haavoittuvuus SMTP-protokollan toteutuksessa useissa eri sähköpostiohjelmistoissa

4. tammikuuta 2024 klo 7.54

Vuoden 2023 lopulla SMTP-protokollan useisiin toteutuksiin julkaistiin nollapäivähaavoittuvuus. Haavoittuvuutta hyödyntämällä uhkatoimijat voivat väärinkäyttää haavoittuvia SMTP-palvelimia maailmanlaajuisesti lähettääkseen haitallisia sähköposteja mielivaltaisista sähköpostiosoitteista, mikä mahdollistaa mm. kohdistettuja tietojenkalasteluhyökkäyksiä. Haavoittuvuus koskee SMTP-ohjelmistoista ainakin Postfixiä, Sendmailia ja Eximiä.

SMTP-salakuljetushaavoittuvuus (SMTP smuggling) perustuu sähköpostipalvelinten SMTP-protokollan vaihtelevaan tulkintaan ja toteutukseen. Osa sähköpostipalvelimista merkitsee ja tulkitsee eri tavoin tiedon siirron päättymisestä, mikä voi mahdollistaa toisen sähköpostiviestin lähettämisen saman SMTP-yhteyden aikana eli "salakuljettamisen" sähköpostiviestin vastaanottavalle SMTP-palvelimelle. 

Protokollan mukaan (RFC 5321, 4.1.1.4) lähettävän palvelimen kuuluu ilmoittaa viestin loppu merkein <CR><LF>.<CR><LF>. Kuitenkin joissakin toteutuksissa on käytetty myös muita tapoja merkitä viestin loppua, kuten <LF>.<LF> tai <LF>.<CR><LF>, jotka osa ohjelmistoista on yhteensopivuuden vuoksi hyväksynyt.

Haavoittuvuuden avulla uhkatoimija voi salakuljettaa oman sähköpostiviestinsä palvelimelle niin, että se näyttää saapuneen luotettavan sähköpostipalvelimen kautta. Tällä tavoin SMTP-salakuljetettu sähköpostiviesti pääsee läpi SPF- (Sender Policy Framework), DKIM- (DomainKeys Identified Mail) ja DMARC- (Domain-based Message Authentication, Reporting and Conformance) suojauksista, koska se vaikuttaa tulevan luotettavasta lähteestä.

Haavoittuvia SMTP-palvelinohjelmistoja ovat olleet haavoittuvuuden havaintohetkellä ainakin:

Lisäksi haavoittuvuus on koskenut ainakin seuraavia laitteita ja palveluita:

  • Microsoft Exchange Online. Korjattu arviolta 10/2023.
  • Cisco Secure Email Gateway. Cisco Secure Email Gateway ja Cisco Secure Email Cloud -tuotteisiin korjaavaa päivitystä ei ole saatavilla, vaan Cisco on suositellut konfiguraatiomuutoksia uhan lieventämiseksi.

Haavoittuvuuden kohde

Haavoittuva ohjelmistoKorjattu versiossaLisätietoja ja mitigointiohjeita
Postfix3.8.4, 3.7.9, 3.6.13, 3.5.23Pysyvämpi korjaus on versiosta 3.9 lainattu ominaisuus, joka ei ole oletuksena käytössä. Sekä korjaus että mitigointi vaativat päivityksen lisäksi asetusmuutoksia; ks. https://www.postfix.org/smtp-smuggling.html
Sendmail8.18.0.2Lisätietoja https://nvd.nist.gov/vuln/detail/CVE-2023-51765 ja https://bugzilla.redhat.com/show_bug.cgi?id=2255870
Exim4.98, 4.97.1Lisätietoja ja linkkejä mitigointiohjeisiin https://nvd.nist.gov/vuln/detail/CVE-2023-51766
CVE-2023-51764 (nvd.nist.gov)
CVE-2023-51765 (nvd.nist.gov)
CVE-2023-51766 (nvd.nist.gov)
SMTP Smuggling - Spoofing E-Mails Worldwide (sec-consult.com)
RFC 5321 Simple Mail Transfer Protocol (rfc-editor.org)
SMTP Smuggling (postfix.org)
Red Hat Bugzilla - Bug 2255870 (bugzilla.redhat.com)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.