Exim に関するアップデート適用状況の観測

Posted by Ryosuke Tanaka on 2019-06-17
脆弱性観測

はじめに

FFRI セキュリティエンジニアの田中です。
セキュリティ関係の仕事をしていてよく思うことがあります。
『ベンダーからの修正バージョンリリース後にシステム管理者はどれくらいの期間でアップデート適用をしているのか???』と。
この疑問の答えを求めて Web 検索をしましたが、私の求める情報は見つかりませんでした。
そこで今回この疑問に答えるためのファーストステップとして、ある製品の脆弱性に着目し、アップデート適用状況を時系列観測するという簡単な調査を行ってみました。

調査対象

製品

今回着目する製品は、メール転送エージェント Exim です。
Exim は 24 年前に公開され、開発が続けられてきたオープンソースソフトウェアであり、Debian 系の Linux OS では標準採用のメール転送エージェントとして利用されています。
世界中のメールサーバーの内、Exim は約半分のシェアを占めています[1]。

脆弱性

6 月 3 日にメール転送エージェント Exim の深刻な脆弱性 (CVE-2019-10149) が公開されました[2,3,4]。
脆弱性の内容は、受信メールアドレスの検証が不適切であるために、リモートからコード実行される可能性があるというものです。
共通脆弱性評価システム CVSS ではスコア 9.8 (最大値 10.0) 深刻度『緊急』と評価されています。
6 月 13 日には、本脆弱性が悪用された可能性があるという情報がツイッター上で公開されました[5]。
また本脆弱性がマイニングマルウェアのキャンペーンに悪用されているという記事もあります[6]。

脆弱性の影響を受けるバージョンは以下になります。

  • Exim 4.87
  • Exim 4.88
  • Exim 4.89
  • Exim 4.90
  • Exim 4.91

脆弱性が修正済みのバージョンは以下になります(2019 年 6 月 17 日現在)。

  • Exim 4.92

Debian 系の Linux OS ディストリビューションの中には、脆弱性の影響を受けるバージョンでも独自にパッチを適用することで脆弱性対策を行っているものもあります[7,8]。
今回は調査を簡単にするため個別のパッチ適用は考えずに、アップデートの適用のみに注目します。

以下の調査方法を用いて、メール転送エージェント Exim のバージョン 4.92 へのアップデート適用状況を観測していきます。

調査方法

今回の調査では、ネットワーク接続した機器の検索エンジンである SHODAN を用います。
SHODAN は、インターネット上のあらゆる IP アドレス/ポート番号に対して接続要求を行い、サービスが動作している端末からの応答メッセージ(バナー)を受信・抽出し、データベース化しています。
ユーザーは検索キーワードを入力することにより、所望の情報をブラウザー上に表示することができます。

図1 SHODAN のホーム画面

今回の調査では検索キーワードを『Exim <バージョン>』とし、検索ヒット数を観測しました。ただし、<バージョン> には 4.92 等の数値が入ります。
以下に示す SHODAN の検索画面から調査方法を説明します。

  1. 上部の SHODAN の検索ボックスに Exim <バージョン> を入力し、エンターキー
  2. 左上の『TOTAL RESULTS』の数字を取得
    • Exim <バージョン> のソフトウェアを含む公開サーバーの総数
  3. 世界地図の各国の上にマウスカーソルを置くと、国名と国ごとの公開サーバー数が表示されるのでそれらの情報を取得
    • 今回は地理的・経済的に異なるサンプルとして、日本、アメリカ、フランス、ブラジル、インドを選出
  4. Exim のすべてのバージョンに対して、1. ~ 3. を繰り返す。
  5. 1 日おきに、1. ~ 4. の操作を繰り返す

図2 SHODAN の検索結果画面

この方法により、Exim のアップデート適用状況を観測しました。

調査結果

今回の調査期間は、6 月 7 日から 6 月 16 日で、データの取得は全日ともに 13 時に行っています。

表1の調査結果は、全世界における Exim のバージョン 4.92 と バージョン 4.91 以下に関するものになります。
両方の調査項目に対して、割合・増加率・実際の数・6 月 7 日からの増加数を記載しています。
この中で、バージョン 4.92 と バージョン 4.91 以下の割合を見やすいように、グラフにしたものが図3になります。

表1 Exim のバージョン 4.92 と 4.91 以下に関する割合・増加率・実際の数・増加数

図3の 6 月 7 日の時点では脆弱性が修正されたバージョン 4.92 の割合は 14 % であるのに対して、9 日後の 6 月 16 日にはバージョン 4.92 の割合は 45 % に増加しています。
バージョン 4.92 の実際の数は、約 65 万台から 213 万台へ増加しており、増加率は約 229 % となります。
表1の一番右の 6 月 7 日からの増加数に着目すると、9 日間でバージョン 4.91 以下の数が約 142 万減少しているのに対し、バージョン 4.92 は 148 万増加していることがわかります。
ここから着実に、バージョン 4.92 へのアップデートが進行していることがわかります。

図3 Exim のバージョン 4.92 と 4.91 以下の割合

表2の調査結果は、日本、アメリカ、フランス、ブラジル、インドごとのバージョン 4.92 に関する割合・増加率・実際の数を表しています。
これを理解しやすいようにグラフにしたものが図4になります。

表2 各国のバージョン 4.92 に関する割合・増加率・実際の数

図4 バージョン 4.92 に関する割合と増加率の推移

初めに割合に関する推移の説明を行います。
6 月 16 日におけるバージョン 4.92 の割合は、フランスが 48 % と他の 4 カ国よりも高いことがわかります。
アメリカとインドは同様の曲線を描きながら、46 % の割合を示しています。
一方日本とブラジルは 25 % 前後であり、日本に関してはブラジルと 2 % の差があります。

次に、増加率に関する推移の説明を行います。
バージョン 4.92 に関する 6 月 7 日からの増加率は、6 月 16 日においてアメリカ・インドが約 320 % 前後と高くなっています。
日本とブラジルは 9 日間で約 195 % 増であり、アメリカ・インドとは約 125 % の開きが存在しています。
フランスは 6 月 7 日時点でのバージョン 4.92 の割合が高かったため、増加率としては 5 カ国の中で最も低い約 105 % となっています。

考察

今回の調査方法で観測したデータを読みたった結果、Exim に対するアップデート適用はフランスでは調査期間よりも早い段階で行われており、アメリカ・インドでは高い増加率により進められていることが推測できます。
一方日本・ブラジルでは、アップデート適用が他 3 カ国と比較して進められていないと推測できます。

この理由としては、先述した独自にパッチを適用することで脆弱性対策を行っているディストリビューションの影響も考えられます。
これらのディストリビューションを日本・ブラジルで数多く利用されているために、アップデートの適用率が低くなっているという可能性もあります。

また各国毎の Exim の利用数も異なるため、このサンプル数の違いがアップデート適用状況の結果にどのように影響しているかを考える必要もあります。

今後より詳細な調査を行うことにより、アップデート適用率・増加率の違いを明らかにしたいと思います。

調査方法の課題

今回の調査では、最近発生した脆弱性情報のアップデート適用状況の観測を行うことを目的として、Eximを対象としたデータの収集を行いました。
今後アップデート適用について一般的な提言を行っていくためには、複数の製品のアップデート適用状況を観測することが課題となります。
そのため SHODAN の API[9] を利用することによる観測の自動化、そして任意の製品の脆弱性公開後の半自動観測機能を追加したいと考えています。

まとめ

今回の調査方法で Exim に関するアップデート適用状況を観測することにより、全世界での脆弱性修正バージョンの割合は、9 日間で 14 % から 45 % に増加することがわかりました。
さらにアメリカ・フランス・インドと比較した場合、日本・ブラジルにおける脆弱性修正バージョンの割合と増加率は低いことがわかりました。

今後は、背景で述べた『ベンダーからの脆弱性修正バージョンリリース後にシステム管理者はどれくらいの期間でアップデートの適用をしているのか???』に答えることのできる一般的な情報を取得したいと考えています。
さらに国や組織ごとのような様々なドメインで調査を継続することにより、価値のある情報を示すことができればと思います。

参考資料

[1] Mail (MX) Server Survey, SecuritySpace.com, http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html, 公開日:2019/06/01, 閲覧日:2019/06/13

[2] CVE-2019-10149 Exim 4.87 to 4.91, exim.org, https://www.exim.org/static/doc/security/CVE-2019-10149.txt, 公開日:2019/06/03, 閲覧日:2019/06/13

[3] CVE-2019-10149 Detail, NVD NIST, https://nvd.nist.gov/vuln/detail/CVE-2019-10149, 公開日:2019/06/05, 閲覧日:2019/06/13

[4] CVE-2019-10149: Critical Remote Command Execution Vulnerability Discovered In Exim, tenable, https://www.tenable.com/blog/cve-2019-10149-critical-remote-command-execution-vulnerability-discovered-in-exim, 公開日:2019/06/06, 閲覧日:2019/06/13

[5] Amit Serper, Twitter, https://twitter.com/0xAmit/status/1139165487093420035, 公開日:2019/06/13, 閲覧日:2019/06/14

[6] NEW PERVASIVE WORM EXPLOITING LINUX EXIM SERVER VULNERABILITY, Cybereason, https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability, 公開日:2019/06/13, 閲覧日:2019/06/17

[7] CVE-2019-10149 (retired), Ubuntu CVE Tracker, https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html, 閲覧日:2019/06/14

[8] CVE-2019-10149, debian security-tracker, https://security-tracker.debian.org/tracker/CVE-2019-10149, 閲覧日:2019/06/14

[9] REST API Documentation, SHODAN Developer, https://developer.shodan.io/api, 閲覧日:2019/06/14