Exim中TLS的致命漏洞可让攻击者以Root身份远程执行命令

iso60001  1930天前

22.jpg

Exim邮件传输代理(MTA)软件的4.80到4.92.1版本存在严重漏洞,可让未经身份验证的攻击者在开启TLS连接的Exim服务器上以root权限远程执行命令。

该漏洞被标记为CVE-2019-15846,最初由Zerons于7月21日上报,Qualys的安全研究团队对此进行了分析——在最初的TLS握手过程中,发送一个以反斜杠-空序列结尾的SNI(Server Name Indication,指定了 TLS握手时要连接的主机名)时可触发漏洞,最终导致远程命令执行。

根据Exim的说法,在默认配置下,就可利用恶意构造的SNI在TLS协商期间触发漏洞。而在其他配置中,可以使用精心设计的客户端TLS证书触发漏洞。

SNI是一个TLS协议的重要组件,旨在使服务器针对不同目标提供不同的TLS证书,用于验证和保护与同一IP地址后面不同网站的连接。

TLS握手

一旦Exim服务器开启了TLS连接,就容易受到攻击。这并不限于某个TLS库,GnuTLS和OpenSSL都受到了影响。

虽然Exim的默认配置并没有启用TLS,但是BleepingComputer了解到,一些Linux系统中发行的Exim启用了TLS。

Exim的开发人员Heiko Schlittermann也证实了这一点,大多数Linux系统中的Exim确实默认启用了TLS,但是Exim还需要一个证书+密钥才能成为一个TLS服务器。可能在软件安装过程中会自动创建一个证书。新版Exims中的tls_advertise_hosts选项值默认为*,如果使用者没有提供,则会创建一个自签名证书。

最好的防御手段是及时更新到Exim 4.92.2,该版本中漏洞已被修复。

如果无法进行软件更新,也可禁止TLS来抵御攻击,但开发人员并不推荐。

至于其他防御手段可选择添加以下邮件ACL (主要涉及acl_smtp_mail),检查是否存在恶意字符:

 deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
 deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

全球概况

专门从事全球网络调查的E-Soft公司于9月1日发布的邮件服务器调查报告显示,Exim是目前使用最多的MX服务器,在总共1740809台邮件服务器中占据了57.13%。此外,直接暴露在互联网上并可直接连接的Exim服务器为507200台。

根据E-Soft公司报告中的版本分析,超过376000台服务器运行着Exim 4.92,只有6400多台服务器使用了Exim 4.92.1:

33.png

尽管E-Soft表示活跃的Exim服务器刚刚超过50万台,但通过Shodan搜索引擎得到的结果表示,Exim服务器数量约为525万台,其中使用Exim 4.92的服务器超过350万台,使用Exim 4.92.1的服务器超过7.4万台。

Schlittermann告诉BleepingComputer,虽然不知道确切数目,但他怀疑大多数Exim服务器的软件版本都在4.80至4.92.1之间。

但无论如何,数十万甚至数百万的Exim服务器都受到了该漏洞的威胁。

攻击现状

在9月4日中,Exim的开发团队发布了一个早期警告,提醒所有人注意Exim的一个重要漏洞将在今天发布的4.92.2版本中得到修补。

Qualys的安全研究团队表示,他们已有一个PoC可进行漏洞检测,并表示“可能存在其他漏洞利用方法”。

44.png

Schlittermann也表示,很感谢其他安全团队的帮助。目前为解决漏洞所发布的安全补丁可能会影响一些老功能,但他们正努力解决中。

在今年7月,一个存在于4.85至4.92版本中且被标记为CVE-2019-13917的漏洞得到了修复,该漏洞可使攻击者在错误配置的服务器中以root权限执行程序。

而在6月初被曝出的CVE-2019-10149漏洞可让黑客远程攻击Exim版本4.87至4.91的MX服务器。

55.jpg

而在一周后的6月13日,攻击者开始借此攻击有漏洞的Exim服务器,最终可通过SSH以root身份远程访问服务器。RiskIQ的威胁研究员Yonathan Klijnsma发现,大约70%的Exim邮件服务器都安装了已修复CVE-2019-10149漏洞的4.92版本。

在6月17日,微软发布了一个关于Linux蠕虫的警告,这些蠕虫利用Exim的漏洞攻击微软的虚拟服务器。

综上所述,现在唯一的问题不是黑客是否会扫描和攻击全球的Exim服务器,而是什么时候开始。

披露时间表

2019-07-21:漏洞由Zerons上报到security@exim.org

2019-09-02:已分配CVE

2019-09-03:详细信息已被发送到distros@vs.openwall.org, exim-maintainers@exim.org

2019-09-04:给oss-security@lists.openwall.com, exim-users@exim.org发布警告

2019-09-04:漏洞公开

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/

最新评论

昵称
邮箱
提交评论