Exim中TLS的致命漏洞可让攻击者以Root身份远程执行命令

Exim邮件传输代理(MTA)软件的4.80到4.92.1版本存在严重漏洞，可让未经身份验证的攻击者在开启TLS连接的Exim服务器上以root权限远程执行命令。

该漏洞被标记为CVE-2019-15846，最初由Zerons于7月21日上报，Qualys的安全研究团队对此进行了分析——在最初的TLS握手过程中，发送一个以反斜杠-空序列结尾的SNI（Server Name Indication，指定了 TLS握手时要连接的主机名）时可触发漏洞，最终导致远程命令执行。

根据Exim的说法，在默认配置下，就可利用恶意构造的SNI在TLS协商期间触发漏洞。而在其他配置中，可以使用精心设计的客户端TLS证书触发漏洞。

SNI是一个TLS协议的重要组件，旨在使服务器针对不同目标提供不同的TLS证书，用于验证和保护与同一IP地址后面不同网站的连接。

TLS握手

一旦Exim服务器开启了TLS连接，就容易受到攻击。这并不限于某个TLS库，GnuTLS和OpenSSL都受到了影响。

虽然Exim的默认配置并没有启用TLS，但是BleepingComputer了解到，一些Linux系统中发行的Exim启用了TLS。

Exim的开发人员Heiko Schlittermann也证实了这一点，大多数Linux系统中的Exim确实默认启用了TLS，但是Exim还需要一个证书+密钥才能成为一个TLS服务器。可能在软件安装过程中会自动创建一个证书。新版Exims中的tls_advertise_hosts选项值默认为*，如果使用者没有提供，则会创建一个自签名证书。

最好的防御手段是及时更新到Exim 4.92.2，该版本中漏洞已被修复。

如果无法进行软件更新，也可禁止TLS来抵御攻击，但开发人员并不推荐。

至于其他防御手段可选择添加以下邮件ACL (主要涉及acl_smtp_mail)，检查是否存在恶意字符：

 deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
 deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

全球概况

专门从事全球网络调查的E-Soft公司于9月1日发布的邮件服务器调查报告显示，Exim是目前使用最多的MX服务器，在总共1740809台邮件服务器中占据了57.13%。此外，直接暴露在互联网上并可直接连接的Exim服务器为507200台。

根据E-Soft公司报告中的版本分析，超过376000台服务器运行着Exim 4.92，只有6400多台服务器使用了Exim 4.92.1:

尽管E-Soft表示活跃的Exim服务器刚刚超过50万台，但通过Shodan搜索引擎得到的结果表示，Exim服务器数量约为525万台，其中使用Exim 4.92的服务器超过350万台，使用Exim 4.92.1的服务器超过7.4万台。

Schlittermann告诉BleepingComputer，虽然不知道确切数目，但他怀疑大多数Exim服务器的软件版本都在4.80至4.92.1之间。

但无论如何，数十万甚至数百万的Exim服务器都受到了该漏洞的威胁。

攻击现状

在9月4日中，Exim的开发团队发布了一个早期警告，提醒所有人注意Exim的一个重要漏洞将在今天发布的4.92.2版本中得到修补。

Qualys的安全研究团队表示，他们已有一个PoC可进行漏洞检测，并表示“可能存在其他漏洞利用方法”。

Schlittermann也表示，很感谢其他安全团队的帮助。目前为解决漏洞所发布的安全补丁可能会影响一些老功能，但他们正努力解决中。

在今年7月，一个存在于4.85至4.92版本中且被标记为CVE-2019-13917的漏洞得到了修复，该漏洞可使攻击者在错误配置的服务器中以root权限执行程序。

而在6月初被曝出的CVE-2019-10149漏洞可让黑客远程攻击Exim版本4.87至4.91的MX服务器。

而在一周后的6月13日，攻击者开始借此攻击有漏洞的Exim服务器，最终可通过SSH以root身份远程访问服务器。RiskIQ的威胁研究员Yonathan Klijnsma发现，大约70%的Exim邮件服务器都安装了已修复CVE-2019-10149漏洞的4.92版本。

在6月17日，微软发布了一个关于Linux蠕虫的警告，这些蠕虫利用Exim的漏洞攻击微软的虚拟服务器。

综上所述，现在唯一的问题不是黑客是否会扫描和攻击全球的Exim服务器，而是什么时候开始。

披露时间表

2019-07-21：漏洞由Zerons上报到security@exim.org

2019-09-02：已分配CVE

2019-09-03：详细信息已被发送到distros@vs.openwall.org, exim-maintainers@exim.org

2019-09-04：给oss-security@lists.openwall.com, exim-users@exim.org发布警告

2019-09-04：漏洞公开

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/