Patched Exim - patch пак. Ново изпълнение на дистанционна команда в Exim 4.92 в една заявка

Съвсем наскоро, в началото на лятото, имаше широко разпространени призиви Exim да бъде актуализиран до версия 4.92 поради уязвимостта CVE-2019-10149 (Актуализирайте спешно Exim до 4.92 - има активна инфекция / Sudo Null IT News). И наскоро се оказа, че зловредният софтуер Sustes е решил да се възползва от тази уязвимост.

Сега всички онези, които спешно актуализираха, могат да се „радват“ отново: на 21 юли 2019 г. изследователят Zerons откри критична уязвимост в Exim Mail Transfer agent (MTA) при използване на TLS за версии от 4.80 4.92.1 нагоре включително, позволяващ дистанционно изпълнява код с привилегировани права (CVE-2019 15846-).

Уязвимост

Уязвимостта е налице при използване на библиотеките GnuTLS и OpenSSL при установяване на защитена TLS връзка.

Според разработчика Heiko Schlittermann, конфигурационният файл в Exim не използва TLS по подразбиране, но много дистрибуции създават необходимите сертификати по време на инсталацията и позволяват защитена връзка. Също така по-новите версии на Exim инсталират опцията tls_advertise_hosts=* и генериране на необходимите сертификати.

зависи от конфигурацията. Повечето дистрибуции го активират по подразбиране, но Exim се нуждае от сертификат+ключ, за да работи като TLS сървър. Вероятно дистрибуторите създават сертификат по време на настройката. По-новите Exims имат опцията tls_advertise_hosts по подразбиране на "*" и създават самоподписан сертификат, ако не е предоставен такъв.

Самата уязвимост се крие в неправилна обработка на SNI (индикация за име на сървър, технология, въведена през 2003 г. в RFC 3546 за клиент да поиска правилния сертификат за име на домейн, Разпространение на стандарта TLS SNI / Блог на WEBO Group / Sudo Null IT News) по време на TLS ръкостискане. Нападателят просто трябва да изпрати SNI, завършващ с обратна наклонена черта ("") и нулев знак (" ").

Изследователи от Qualys са открили грешка във функцията string_printing(tls_in.sni), която включва неправилно екраниране на „“. В резултат на това обратната наклонена черта се записва без екраниране в заглавния файл на спула за печат. След това този файл се чете с привилегировани права от функцията spool_read_header(), което води до препълване на купчина.

Заслужава да се отбележи, че в момента разработчиците на Exim са създали PoC на уязвимости с изпълнение на команди на отдалечен уязвим сървър, но той все още не е публично достъпен. Поради лекотата на експлоатация на грешката, това е само въпрос на време и то доста кратко.

Можете да намерите по-подробно проучване на Qualys тук.

Използване на SNI в TLS

Брой потенциално уязвими публични сървъри

Според статистика на голям хостинг доставчик E-Soft Inc от 1 септември на наети сървъри версия 4.92 се използва в повече от 70% от хостовете.

версия
Брой сървъри
на сто

4.92.1
6471
1.28%

4.92
376436
74.22%

4.91
58179
11.47%

4.9
5732
1.13%

4.89
10700
2.11%

4.87
14177
2.80%

4.84
9937
1.96%

Други версии
25568
5.04%

Фирмена статистика на E-Soft Inc

Ако използвате търсачка Shodan, след това от 5,250,000 XNUMX XNUMX в базата данни на сървъра:

• около 3,500,000 4.92 1,380,000 използват Exim XNUMX (около XNUMX XNUMX XNUMX използват SSL/TLS);
• над 74,000 4.92.1, използващи 25,000 (около XNUMX XNUMX, използващи SSL/TLS).

По този начин общоизвестните и достъпни Exim потенциално уязвими сървъри наброяват около 1.5 милиона.

Потърсете Exim сървъри в Shodan

защита

• Най-простият, но непрепоръчителен вариант е да не използвате TLS, което ще доведе до препращане на имейл съобщения в чист вид.
• За да избегнете използването на уязвимостта, би било по-добре да актуализирате до версията Exim Internet Mailer 4.92.2.
• Ако е невъзможно да актуализирате или инсталирате версия с корекция, можете да зададете ACL в конфигурацията на Exim за опцията acl_smtp_mail със следните правила:

  # to be prepended to your mail acl (the ACL referenced
  # by the acl_smtp_mail main config option)
  deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}}
  deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}

Източник: www.habr.com