安全公告
关于Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞的安全公告
安全公告编号:CNTA-2019-0021
2019年6月15日,国家信息安全漏洞共享平台(CNVD)收录了由论客科技(广州)有限公司报送的Coremail邮件系统服务未授权访问漏洞(CNVD-C-2019-78549)和服务接口参数注入漏洞(CNVD-C-2019-78550)。攻击者利用该漏洞,可在未授权的情况下访问部分服务接口和进行接口参数注入操作。目前,漏洞相关细节和验证代码已开始小范围传播,厂商已发布补丁进行修复,建议用户立即更新或采取临时修补方案进行防护。
一、漏洞情况分析
Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统,客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位,在我国境内应用较为广泛。
2019年6月15日,国家信息安全漏洞共享平台(CNVD)收录了由论客科技(广州)有限公司报送的Coremail邮件系统服务未授权访问漏洞和服务接口(API)参数注入漏洞。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷,使得攻击者综合利用上述漏洞,在未授权的情况下远程访问Coremail部分服务接口,通过参数构造注入进行文件操作。
CNVD对上述漏洞的综合评级均为“高危”。
二、漏洞影响范围
该漏洞影响的Coremail邮件系统版本如下:
1、Coremail XT 3.0.4至 XT 5.0.8A版本受上述两个漏洞影响;
2、XT 5.0.9及以上版本已修复上述两个漏洞。
CNVD秘书处对Coremail服务在我国境内的分布情况进行统计,结果显示我国境内的Coremail服务器数量约为3.7万(根据IP端口统计)。
综合CNVD技术支撑单位报送、CNVD秘书处主动探测的结果显示,我国境内共有1776台和454台服务器分别受上述漏洞影响,影响比例约为4.8%和1.2%。我平台已将探测结果与论客公司共享,协助其开展用户侧修复相关工作。
三、漏洞处置建议
目前,论客公司已发布补丁进行修复:
1、针对Coremail XT3/CM5版本,补丁编号为CMXT3-2019-0001,程序版本号XT3.0.8 dev build 20190610(cb3344cf);
2、针对Coremail XT5,补丁编号为CMXT5-2019-0001,程序版本号XT5.0.9a build 20190604(696d1518)。
如已安装的程序包的版本号日期早于20190604,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。如有疑问,可通过400-888-2488 或support@coremail.cn联系厂商售后人员提供协助。
临时修补方案如下:
1、在不影响正常使用的情况下,通过部署VPN服务限制对Coremail服务器的公网访问;
2、在Web服务器(nginx/apache)上限制外网对 /apiws 路径的访问。
建议使用Coremail产品构建邮件服务的信息系统运营者,立即自检,发现存在漏洞及时修复。
感谢CNVD用户组成员单位——论客科技(广州)有限公司为本报告提供的技术支持。
感谢北京知道创宇信息技术股份有限公司、天津市国瑞数码安全系统股份有限公司(零点实验室)为本报告提供的数据支持。