Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Blixtmeddelande, PHPMailer, Drupal, WordPress

(UPPDATERAD) Kritisk sårbarhet i PHPMailer

Sårbarhet i PHPMailer möjliggör oautenticerad kodkörning (RCE) i påverkade miljöer.

Vad har hänt?

En kritisk sårbarhet i PHPMailer[0] hittades av Dawid Golunski och har publicerats under helgen[1].

PHPMailer är en komponent som används för att skicka mejl i PHP-baserade ramverk och/eller projekt.
Bland annat ingår PHPMailer i WordPress, Joomla och Drupal CMS-system.

Vad innebär sårbarheten?

Sårbarheten beror på otillräcklig sanering/verifering av indata i PHPMailer. Vanliga webbelement som passerar data till PHPMailers epostfunktion (registreringsformer, lösenordsåterställningsformer, m.m) kan användas för att trigga sårbarheten.

En oautenticerad angripare kan därmed använda sårbarheten för att exekvera kod som webbserver-användaren i en sårbar miljö. På detta sätt kan angriparen t.ex öppna en webbshell på servern, eller försöka använda lokala sårbarheter för att eskalera sina privilegier.

Vilka versioner är påverkade?

Alla versioner utav PHPMailer innan 5.2.18 (släppdatum 2016-12-24) är sårbara.

Mjukvara som använder sig utav en sårbar version av PHPMailer och exponerar ett fält som matar indata till PHPMailer är sårbara.

Åtgärd

Den föreslagna åtgärden av PHPMailer projektet är att uppgradera till version 5.2.18 så fort som möjligt.

Särskild risk för CMS-miljöer

Kod som utnyttjar sårbarheten har redan utvecklats och finns tillgänglig på internet.

Från tidigare erfarenhet med sårbarheter som tillåter oautenticerad kodkörning och påverkar CMS-systemet förväntar CERT-SE sig att denna sårbarheten kommer att utnyttjas på stor skala inom relativt kort tid.

CERT-SE vill därför uppmana alla som kör mjukvara som använder sig utav PHPMailer att uppdatera så fort som möjligt.

Uppdatering - 2016-12-28

Enligt Dawid Golunski[3] är den föreslagna åtgärden otillräcklig då osanerad kod kan fortfarande matas in till PHPMailer. PoC kod som kan kringgå patchen har också släppts.

PHPMailer projektet jobbar på att ta fram en patch, men i dagsläget finns ingen föreslagen åtgärd mot sårbarheten.

CERT-SE rekommenderar att de som är berörda av sårbarheten förbereder för att patcha så fort PHPMailer släpper en åtgärdad version[4].

Om det är möjligt rekommenderar CERT-SE att berörd försöker minska angreppsytan till sårbarheten genom att:

a) Införa ytterligare sanering av argument som matar in till PHPMailer innan de når till applikationen.

b) Blockera/neka åtkomst till funktioner som matar data in till PHPMailer.

Uppdatering - 2016-12-30

Ytterligare säkerhetsforskning av Dawid Golunski har visat att Zend Framework[5] och SwiftMailer[6] drabbas också av samma sorts sårbarhet i respektive kodbas.

Referenser och ytterligare läsmaterial

[0] Github - PHPMailer
https://github.com/PHPMailer/PHPMailer

[1] LegalHackers - 'CVE 2016-10033'
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

[2] ISC SANS - Critical security update: PHPMailer 5.2.18 (CVE-2106-10033)
https://isc.sans.edu/diary/Critical+security+update%3A+PHPMailer+5.2.18+%28CVE-2016-10033%29/21855

[3] LegalHackers - 'CVE-2016-10045'
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.txt

[4] Github - PHPMailer Releases
https://github.com/PHPMailer/PHPMailer/releases

[5] LegalHackers - 'CVE 2016-10034'
http://legalhackers.com/advisories/ZendFramework-Exploit-ZendMail-Remote-Code-Exec-CVE-2016-10034-Vuln.html

[6] LegalHackers - 'CVE 2016-10074'
https://legalhackers.com/advisories/SwiftMailer-Exploit-Remote-Code-Exec-CVE-2016-10074-Vuln.html