Meer onlangs, in die vroeë somer, was daar wydverspreide oproepe dat Exim na weergawe 4.92 opgedateer moes word weens die CVE-2019-10149 kwesbaarheid (). En onlangs het dit geblyk dat die Sustes-wanware besluit het om voordeel te trek uit hierdie kwesbaarheid.
Nou kan almal wat dringend opgedateer het weer "jubel": op 21 Julie 2019 het navorser Zerons 'n kritieke kwesbaarheid in Exim Mail Transfer Agent (MTA) wanneer TLS gebruik word vir weergawes van Om 4.80 4.92.1 inklusief, wat afstandbeheer moontlik maak voer kode uit met bevoorregte regte ().
Kwesbaarheid
Die kwesbaarheid is teenwoordig wanneer beide die GnuTLS- en OpenSSL-biblioteke gebruik word wanneer 'n veilige TLS-verbinding tot stand gebring word.
Volgens ontwikkelaar Heiko Schlittermann gebruik die konfigurasielêer in Exim nie TLS by verstek nie, maar baie verspreidings skep die nodige sertifikate tydens installasie en maak 'n veilige verbinding moontlik. Ook nuwer weergawes van Exim installeer die opsie tls_advertise_hosts=* en genereer die nodige sertifikate.
hang af van die konfigurasie. Die meeste distros aktiveer dit by verstek, maar Exim benodig 'n sertifikaat+sleutel om as 'n TLS-bediener te werk. Distros skep waarskynlik 'n sertifikaat tydens opstelling. Nuwer Exims het die tls_advertise_hosts-opsie wat verstek is op "*" en skep 'n selfondertekende sertifikaat, indien nie een verskaf word nie.
Die kwesbaarheid self lê in die verkeerde verwerking van SNI (Server Name Indication, 'n tegnologie wat in 2003 in RFC 3546 bekendgestel is vir 'n kliënt om die korrekte sertifikaat vir 'n domeinnaam aan te vra, ) tydens 'n TLS-handdruk. 'n Aanvaller hoef net 'n SNI te stuur wat eindig met 'n terugskuinsstreep ("") en 'n nulkarakter (" ").
Navorsers van Qualys het 'n fout in die string_printing(tls_in.sni)-funksie ontdek, wat die verkeerde ontsnapping van "" behels. As gevolg hiervan word die agterste skuinsstreep ongeskonde na die drukspoelkoplêer geskryf. Hierdie lêer word dan gelees met bevoorregte regte deur die spool_read_header() funksie, wat lei tot hoop oorloop.
Dit is opmerklik dat Exim-ontwikkelaars tans 'n PoC van kwesbaarhede geskep het met die uitvoering van opdragte op 'n afgeleë kwesbare bediener, maar dit is nog nie publiek beskikbaar nie. As gevolg van die gemak van uitbuiting van die fout, is dit net 'n kwessie van tyd, en redelik kort.
'n Meer gedetailleerde studie deur Qualys kan gevind word .
Gebruik SNI in TLS
Aantal potensieel kwesbare publieke bedieners
Volgens statistieke van 'n groot gasheerverskaffer E-Soft Inc vanaf 1 September, op gehuurde bedieners, word weergawe 4.92 in meer as 70% van die gashere gebruik.
weergawe
Aantal bedieners
Persent
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Ander weergawes
25568
5.04%
Maatskappystatistieke van E-Soft Inc
As jy 'n soekenjin gebruik , dan uit 5,250,000 XNUMX XNUMX in die bedienerdatabasis:
- ongeveer 3,500,000 4.92 1,380,000 gebruik Exim XNUMX (ongeveer XNUMX XNUMX XNUMX wat SSL/TLS gebruik);
- meer as 74,000 4.92.1 wat 25,000 gebruik (ongeveer XNUMX XNUMX wat SSL/TLS gebruik).
Dus, publiek bekende en toeganklike Exim potensieel kwesbare bedieners is ongeveer 1.5 miljoen.
Soek vir Exim-bedieners in Shodan
beskerming
- Die eenvoudigste, maar nie aanbeveel nie, opsie is om nie TLS te gebruik nie, wat daartoe sal lei dat e-posboodskappe duidelik aangestuur word.
- Om uitbuiting van die kwesbaarheid te vermy, sal dit meer verkieslik wees om na die weergawe op te dateer .
- As dit onmoontlik is om 'n gelapte weergawe op te dateer of te installeer, kan jy 'n ACL in die Exim-konfigurasie vir die opsie stel acl_smtp_mail met die volgende reëls:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Bron: will.com