PHPMailer Exploit

בתאריך 25.12.2016 פורסמה פרצת אבטחה מסוג Remote execution code, הפרצה מוגדרת כקריטית במנגנון שליחת הדואר PHPMailer (כל הגרסאות).

PHPMailer הינה ספריה פופולרית ב-PHP המשמשת אפליקציות קוד פתוח רבות (כמו WordPress) לטובת משלוח דואר מהאתר (לדוגמא, טפסי צור קשר).

הפרצה מאפשרת לכל תוקף (בעקיפין) לבצע השתלטות על האתר המותקף.

מהות הפריצה

הפרצה מנצלת חולשה במנגנון אימות תיבות הדואר אשר אמור לקלוט רק תיבות בפורמט user@domain.ext.

בפועל, פרוטוקול הדואר (RFC 3696) מאפשר שימוש בכתובת המכילות רווחים, לדוגמא: "this is a test@gmail.com".

עובדה זו יחד עם חוסר סניטציה של המשתנים המוזנים (ישירות באמצעות POST) לטופס המשתמש ב-PHPMailer, מאפשרים לפורץ להשתלט על מנגנון שליחת הדואר באפליקציה – ומנקודה זו, הדרך להשתלטות על האתר, קצרה.

איך מתגוננים?

1. במידה והנכם אנשי קוד, ניתן לשדרג את גרסת ה-PHPMailer לגרסה האחרונה (נכון לזמן פרסום הפוסט, 5.2.18).
2. במידה והנכם משתמשים ב-Wordpress או מערכת קוד פתוח אחרת- יש להמתין לשחרור תיקון ע"י ההפצה- סביר להניח כי שינוי ידני יגרור השבתה של מערכת הדואר באתר (או את כלל האתר).

לקוחות חברות האחסון SPD, Raid, KOH ו-DRP ומשתמשים בשירות ה-WAF? אתם יכולים להיות רגועים, הפרצה נחסמה ברמת מערכות ה-WAF שלנו.