聚焦源代码安全,网罗国内外最新资讯!
数百万台 Exim 服务器易受一个严重漏洞影响,如遭利用,可导致攻击者以根权限运行恶意代码。
运行4.92.1和之前版本的所有 Exim服务器均易受攻击。Exim 团队在上周发布的安全公告中指出,已发布版本 4.92.2 解决这些问题。
对于很多人而言,这个问题可能并不重要,但 Exim 是当前使用最普遍的软件之一。Exim 是一个邮件传输代理 (MTA),即在邮件服务器后台运行的软件。虽然邮件服务器通常收发信息,但同时也是其他人邮件的中继,这就是 MTA 的任务。
2019年6月份的一次调查显示,Exim 是当前最普遍的 MTA,市场份额超过57%。它获得成功的原因可归为和多个 Linux 发行版本捆绑在一起,如 Debian、Red Hat 等。
但上周五,Exim 团队警告称软件中存在一个严重漏洞。如果 Exim 服务器被配置为接受传入的 TLS 连接,那么攻击者能够将附加的恶意反斜杠空序列发动到 SNI 数据包的末尾并以根权限运行恶意代码。
一位名为Zerons 的安全研究员早在今年7月初就报告了这个问题,而且 Exim 团队已秘密地修复了该问题。由于利用代码轻易可得以及根访问权限效应,同时也因为存在大量易受攻击的服务器,因此这种秘密行为得以证实。
BinaryEdge 搜索发现超过520万台 Exim 服务器运行易受攻击的 4.92.1和之前的版本。
从多个威胁情报社区的来源人士提供的信息来看,目前尚不存在公开的利用代码,但构造一个相对容易。另外,在野并未发现任何活跃的攻击,但过去24小时内的 Exim 服务器扫描活动已增强。
服务器所有人可通过禁用 Exim 服务器 TLS 支持的方式缓解该漏洞 CVE-2019-15846。不过这种方法并不可行,因为它会以明文形式暴露邮件流量,并使其易受嗅探攻击和拦截。不推荐位于欧盟的 Exim 所有人使用该缓解措施,因为它可导致企业数据遭泄露,从而面临GDPR罚款。
不过还有另外一种方法。在默认情况下,Exim 安装程序并未启用 TLS 支持。尽管如此,Linux 发行版本中包含的 Exim 实例确实默认启用了 TLS。由于多数服务器管理员使用了 OS 镜像,很少手动下载 Exim,因此多数 Exim 实例很可能易受攻击。
另外,配有流行 web 托管软件cPanel 的 Exim实例也默认支持 TLS。好在cPanel 员工已快速将 Exim补丁集成到 cPanel更新中,目前他们正在推出该更新。
如果用户不明确 Exim服务器的 TLS 状态,最好的办法是安装 Exim补丁,这也是完全阻止活跃利用的唯一方法。
这是今年夏天修复的第二个主要的 Exim 漏洞。6月份,Exim 团队修复了CVE-2019-10149,即“WIZard 返场”,它也可导致攻击者在远程 Exim 服务器上以根权限运行恶意代码。该漏洞被公开披露后一周内即遭到利用,有人公开三天后构造了 Azure 蠕虫,强制微软向所有客户发送安全警告信息。
安全专家认为最新出现的这个 Exim 缺陷也将遭利用。
原文链接
https://www.zdnet.com/article/millions-of-exim-servers-vulnerable-to-root-granting-exploit/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
代码卫士