用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    101

    主题

    101

    帖子

    1175

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-9-9 18:48:16 0383

    22.jpg

    Exim邮件传输代理(MTA)软件的4.80到4.92.1版本存在严重漏洞,可让未经身份验证的攻击者在开启TLS连接的Exim服务器上以root权限远程执行命令。

    该漏洞被标记为CVE-2019-15846,最初由Zerons于7月21日上报,Qualys的安全研究团队对此进行了分析——在最初的TLS握手过程中,发送一个以反斜杠-空序列结尾的SNI(Server Name Indication,指定了 TLS握手时要连接的主机名)时可触发漏洞,最终导致远程命令执行。

    根据Exim的说法,在默认配置下,就可利用恶意构造的SNI在TLS协商期间触发漏洞。而在其他配置中,可以使用精心设计的客户端TLS证书触发漏洞。

    SNI是一个TLS协议的重要组件,旨在使服务器针对不同目标提供不同的TLS证书,用于验证和保护与同一IP地址后面不同网站的连接。

    TLS握手

    一旦Exim服务器开启了TLS连接,就容易受到攻击。这并不限于某个TLS库,GnuTLS和OpenSSL都受到了影响。

    虽然Exim的默认配置并没有启用TLS,但是BleepingComputer了解到,一些Linux系统中发行的Exim启用了TLS。

    Exim的开发人员Heiko Schlittermann也证实了这一点,大多数Linux系统中的Exim确实默认启用了TLS,但是Exim还需要一个证书+密钥才能成为一个TLS服务器。可能在软件安装过程中会自动创建一个证书。新版Exims中的tls_advertise_hosts选项值默认为*,如果使用者没有提供,则会创建一个自签名证书。

    最好的防御手段是及时更新到Exim 4.92.2,该版本中漏洞已被修复。

    如果无法进行软件更新,也可禁止TLS来抵御攻击,但开发人员并不推荐。

    至于其他防御手段可选择添加以下邮件ACL (主要涉及acl_smtp_mail),检查是否存在恶意字符:

     deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
     deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
    

    全球概况

    专门从事全球网络调查的E-Soft公司于9月1日发布的邮件服务器调查报告显示,Exim是目前使用最多的MX服务器,在总共1740809台邮件服务器中占据了57.13%。此外,直接暴露在互联网上并可直接连接的Exim服务器为507200台。

    根据E-Soft公司报告中的版本分析,超过376000台服务器运行着Exim 4.92,只有6400多台服务器使用了Exim 4.92.1:

    33.png

    尽管E-Soft表示活跃的Exim服务器刚刚超过50万台,但通过Shodan搜索引擎得到的结果表示,Exim服务器数量约为525万台,其中使用Exim 4.92的服务器超过350万台,使用Exim 4.92.1的服务器超过7.4万台。

    Schlittermann告诉BleepingComputer,虽然不知道确切数目,但他怀疑大多数Exim服务器的软件版本都在4.80至4.92.1之间。

    但无论如何,数十万甚至数百万的Exim服务器都受到了该漏洞的威胁。

    攻击现状

    在9月4日中,Exim的开发团队发布了一个早期警告,提醒所有人注意Exim的一个重要漏洞将在今天发布的4.92.2版本中得到修补。

    Qualys的安全研究团队表示,他们已有一个PoC可进行漏洞检测,并表示“可能存在其他漏洞利用方法”。

    44.png

    Schlittermann也表示,很感谢其他安全团队的帮助。目前为解决漏洞所发布的安全补丁可能会影响一些老功能,但他们正努力解决中。

    在今年7月,一个存在于4.85至4.92版本中且被标记为CVE-2019-13917的漏洞得到了修复,该漏洞可使攻击者在错误配置的服务器中以root权限执行程序。

    而在6月初被曝出的CVE-2019-10149漏洞可让黑客远程攻击Exim版本4.87至4.91的MX服务器。

    55.jpg

    而在一周后的6月13日,攻击者开始借此攻击有漏洞的Exim服务器,最终可通过SSH以root身份远程访问服务器。RiskIQ的威胁研究员Yonathan Klijnsma发现,大约70%的Exim邮件服务器都安装了已修复CVE-2019-10149漏洞的4.92版本。

    在6月17日,微软发布了一个关于Linux蠕虫的警告,这些蠕虫利用Exim的漏洞攻击微软的虚拟服务器。

    综上所述,现在唯一的问题不是黑客是否会扫描和攻击全球的Exim服务器,而是什么时候开始。

    披露时间表

    2019-07-21:漏洞由Zerons上报到security@exim.org

    2019-09-02:已分配CVE

    2019-09-03:详细信息已被发送到distros@vs.openwall.org, exim-maintainers@exim.org

    2019-09-04:给oss-security@lists.openwall.com, exim-users@exim.org发布警告

    2019-09-04:漏洞公开

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2939.html
    来源:https://www.bleepingcomputer.com/news/security/critical-exim-tls-flaw-lets-attackers-remotely-execute-commands-as-root/
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册