Exim 메일 전송 취약점(CVE-2025-26794)으로 악성 SQL 주입 가능

Kant Jo 2025. 3. 6. 20:35

Exim Mail Transfer Vulnerability Allows Attackers to Inject Malicious SQL

A newly disclosed vulnerability in the Exim mail transfer agent (CVE-2025-26794) has sent shockwaves through the cybersecurity community.

gbhackers.com

취약점 개요
- CVE-2025-26794: Exim 메일 전송 에이전트(MTA)의 SQL 주입(SQL Injection) 취약점
- 공격자가 이메일 시스템을 손상시키고 데이터베이스를 조작할 수 있는 심각한 보안 위협
- Exim 4.98 버전에서 SQLite를 힌트 데이터베이스(hints database) 관리에 사용하는 시스템에서 영향
기술적 분석
- 취약점은 Exim의 SQL 쿼리 처리 과정에서 발생
- 특정 빌드 옵션과 런타임 설정 시 시스템이 취약해짐
  - _USE_SQLITE_ 옵션으로 컴파일된 경우
    ETRN 명령어가 활성화되어 있고(기본값 ‘accept’),
    smtp_etrn_serialize 설정이 ‘true’로 유지될 때 발생
- 악성 SQL 페이로드를 이메일 트랜잭션에 주입해 데이터베이스 기록에 비인가 접근 가능
  - 이메일 라우팅 정보 및 시스템 메타데이터와 같은 민감한 정보 노출 위험
공격 벡터 분석
- 성공적 익스플로잇 조건
  - 취약한 Exim 빌드: SQLite 지원으로 컴파일된 Exim 4.98 서버
  - ETRN 설정 활성화: acl_smtp_etrn이 ‘accept’ 상태여야 함
  - 직렬화 우회 가능: smtp_etrn_serialize가 기본값 ‘true’로 설정되어 있을 때
- 이러한 조건이 충족되면 공격자는 이메일 서버와의 상호작용을 통해 임의의 SQL 명령을 실행할 수 있음
패치 및 대응 현황
- Exim 개발 팀은 최종 확인 후 72시간 내에 패치된 버전을 발표
- Bataille의 책임 있는 공개 절차로, 공개 전 취약점 완화 조치가 마련됨
- Exim 4.98.1 버전에서 구조적 개선을 통해 유사한 주입 벡터를 예방
보안 권고
- Exim 버전 확인: exim -bV 명령어를 통해 설치 버전 확인
- SQLite 통합 비활성화: 운영에 필수적이지 않은 경우 SQLite 기능 제거
- ETRN 명령어 필터링 강화: SMTP 액세스 제어 목록에서 ETRN 명령어 사용 제한
- 공식 패치 적용: Exim 코드 저장소에서 최신 패치 다운로드 및 적용
- 추가 보안 조치
  - SQL 쿼리의 입력값 검증 강화
  - 비정상적인 데이터베이스 접근 패턴을 감시할 수 있는 네트워크 모니터링 도입
결론
- 이메일 인프라 보안의 지속적인 도전 과제를 보여줌
- Exim은 인터넷 노출 메일 서버의 60% 이상에서 사용되고 있어 잠재적 공격 면이 큼
- 성숙하고 많이 검증된 시스템이라도 새로운 기능이 기존 구성 요소와 상호작용할 때 숨겨진 위험이 발생할 수 있음
- 조직은 최신 소프트웨어 업데이트를 유지하고, 공급업체의 보안 공지에 적극 참여해야 함

저작자표시 비영리 변경금지 (새창열림)