數(shù)以百萬(wàn)計(jì)的Exim服務(wù)器容易受到root授權(quán)的攻擊

數(shù)以百萬(wàn)計(jì)的Exim服務(wù)器容易受到安全漏洞的攻擊，當(dāng)被利用時(shí)可以使攻擊者能夠以root權(quán)限運(yùn)行惡意代碼。

Exim團(tuán)隊(duì)在本周的一份咨詢報(bào)告中表示，所有運(yùn)行4.92.1及以前版本的Exim服務(wù)器都是易受攻擊的。版本4.92.2于9月6日星期五發(fā)布，以解決該問(wèn)題。

這個(gè)問(wèn)題對(duì)許多人來(lái)說(shuō)似乎并不重要，但Exim是當(dāng)今最流行的軟件之一。Exim是一個(gè)郵件傳輸代理(MTA)，它是在電子郵件服務(wù)器后臺(tái)運(yùn)行的軟件。雖然電子郵件服務(wù)器經(jīng)常發(fā)送或接收消息，但它們也充當(dāng)其他人電子郵件的中繼。這是MTA的工作。

根據(jù)2019年6月的調(diào)查顯示，Exim是目前最流行的MTA，市場(chǎng)份額超過(guò)57%。它的成功可歸因于它與大量的Linux發(fā)行版捆綁在一起，從Debian到Red Hat。

但本周五，Exim團(tuán)隊(duì)警告其軟件中的一個(gè)關(guān)鍵漏洞。如果Exim服務(wù)器配置為接受傳入的TLS連接，則攻擊者可以發(fā)送附加到SNI數(shù)據(jù)包末尾的惡意反斜杠空序列，并以root權(quán)限運(yùn)行惡意代碼。

7月初，一位名叫Zerons的安全研究人員報(bào)告了這個(gè)問(wèn)題，并且Exim團(tuán)隊(duì)已經(jīng)對(duì)這個(gè)問(wèn)題進(jìn)行了最嚴(yán)格的保密。

由于易于利用，根訪問(wèn)授予效果以及大量易受攻擊的服務(wù)器，因此保密是合理的。

BinaryEdge搜索列出了運(yùn)行版本4.92.1及更早版本(易受攻擊版本)的520多萬(wàn)臺(tái)Exim服務(wù)器。

ZDNet從威脅英特爾社區(qū)的消息來(lái)源了解到這個(gè)問(wèn)題沒(méi)有公共漏洞利用代碼，但制作漏洞利用程序相對(duì)簡(jiǎn)單。此外，在野外沒(méi)有觀察到任何主動(dòng)攻擊，但過(guò)去24小時(shí)內(nèi)Exim服務(wù)器的掃描已經(jīng)加劇。

服務(wù)器所有者可以通過(guò)禁用對(duì)Exim服務(wù)器的TLS支持來(lái)緩解此漏洞(跟蹤為CVE-2019-15846)。但是，這可能不是一種選擇，因?yàn)檫@會(huì)以明文形式暴露電子郵件流量，并使其容易受到嗅探攻擊和攔截。

對(duì)于生活在的Exim所有者，不建議采取這種緩解措施，因?yàn)檫@可能會(huì)使他們的公司面臨數(shù)據(jù)泄漏，以及隨后的GDPR罰款。

但是，也有一個(gè)問(wèn)題。默認(rèn)情況下，Exim安裝默認(rèn)情況下不啟用TLS支持。盡管如此，Linux發(fā)行版中包含的Exim實(shí)例默認(rèn)情況下啟用了TLS。由于大多數(shù)服務(wù)器管理員使用操作系統(tǒng)映像，并且很少有人手動(dòng)下載Exim，因此大多數(shù)Exim實(shí)例很可能容易受到攻擊。

此外，附帶cPanel(一種流行的Web托管軟件)的Exim實(shí)例默認(rèn)也支持TLS。好消息是，cPanel員工迅速將Exim補(bǔ)丁整合到他們開(kāi)始向客戶推出的cPanel更新中。

如果您不知道Exim的服務(wù)器TLS狀態(tài)，那么此時(shí)最好的選擇是安裝Exim補(bǔ)丁，因?yàn)檫@是完全防止任何活動(dòng)利用的唯一方法。

這是今年夏天修補(bǔ)的第二個(gè)主要Exim漏洞。6月，Exim團(tuán)隊(duì)修補(bǔ)了CVE-2019-10149，這是一個(gè)被稱為“ Wizard的回歸”的漏洞，它還使攻擊者能夠在遠(yuǎn)程Exim服務(wù)器上運(yùn)行具有root權(quán)限的惡意代碼。

在公開(kāi)披露后一周內(nèi)，“Wizard的回歸”漏洞得到了積極的利用，有人在三天后制作了一個(gè)Azure蠕蟲(chóng)，迫使微軟向所有客戶發(fā)送安全警報(bào)。

安全專家充分期待這一最新的Exim安全漏洞也將受到積極開(kāi)發(fā)。