Самая опасная из проблем связана с отсутствием аутентификации при регистрации устройства.
Исследователи безопасности из Core Security обнаружили 13 уязвимостей в продукте Email Encryption Gateway от компании Trend Micro (TMEEG). Самая серьезная из проблем позволяет локальному или удаленному злоумышленнику с доступом к целевой системе выполнить произвольные команды с привилегиями суперпользователя.
Email Encryption Gateway - программное решение на базе Linux, обеспечивающее возможность шифрования и дешифрования электронной почты на корпоративном шлюзе независимо от почтового клиента и платформы, на которой оно работает. Шифрование и дешифрование электронной почты в клиенте TMEEG контролируется инструментом Policy Manager, который позволяет администратору настраивать политику на основе различных параметров, таких как адреса электронной почты отправителя и получателя.
По словам исследователей, уязвимости были обнаружены в web-консоли Trend Micro Email Encryption Gateway. Самая опасная из них (CVE-2018-6223) связана с отсутствием аутентификации при регистрации устройства. Администраторы могут настроить виртуальное устройство, использующее Email Encryption Gateway, через конечную точку регистрации. Как выяснили эксперты, злоумышленники могут получить доступ к конечной точке, не проходя аутентификацию, после чего установить свои учетные данные администратора и вносить изменения в конфигурацию.
«Конечная точка регистрации предоставляется системным администраторам для настройки виртуального устройства. Однако она остается доступной без проверки подлинности даже после того, как настройка устройства закончена, позволяя злоумышленникам устанавливать параметры конфигурации, такие как имя пользователя и пароль администратора», - пояснили специалисты.
Эксперты также обнаружили две серьезные уязвимости межсайтового скриптинга (XSS), проблему с записью файлов, которая может привести к выполнению произвольных команд, произвольные локальные файлы журналов, позволяющие выполнить команды, и неутвержденные обновления программного обеспечения. Помимо этого, исследователи выявили проблемы, позволяющие внедрить SQL-код и совершить атаку XXE (XML external entity).
Уязвимости затрагивают версию Trend Micro Email Encryption Gateway 5.5 (сборка 1111.00) и более ранние. Trend Micro исправила 10 из 13 проблем в версии 5.5 (сборка 1129).
XXE инъекции или внешние уязвимости XML - особый тип атаки на стороне сервера или SSRF-атаки, связанный с злоупотреблением функциями в XML-синтаксических парсерах.