Més recentment, a principis d'estiu, hi va haver demanades generalitzades perquè Exim s'actualitzés a la versió 4.92 a causa de la vulnerabilitat CVE-2019-10149 (). I recentment va resultar que el programari maliciós Sustes va decidir aprofitar aquesta vulnerabilitat.
Ara tots aquells que han actualitzat amb urgència poden tornar a "alegrar-se": el 21 de juliol de 2019, l'investigador Zerons va descobrir una vulnerabilitat crítica a Agent de transferència de correu Exim (MTA) quan s'utilitza TLS per a versions de Per 4.80 4.92.1 inclòs, permetent el control remot executar codi amb drets privilegiats ().
Vulnerabilitat
La vulnerabilitat està present quan s'utilitzen les biblioteques GnuTLS i OpenSSL quan s'estableix una connexió TLS segura.
Segons el desenvolupador Heiko Schlittermann, el fitxer de configuració d'Exim no utilitza TLS per defecte, però moltes distribucions creen els certificats necessaris durant la instal·lació i permeten una connexió segura. També les versions més noves d'Exim instal·len l'opció tls_advertise_hosts=* i generar els certificats necessaris.
depèn de la configuració. La majoria de distribucions l'activen de manera predeterminada, però Exim necessita un certificat + clau per funcionar com a servidor TLS. Probablement, les distribucions creen un certificat durant la configuració. Els Exims més nous tenen l'opció tls_advertise_hosts per defecte a "*" i creen un certificat autofirmat, si no se'n proporciona cap.
La vulnerabilitat en si rau en el processament incorrecte de SNI (Server Name Indication, una tecnologia introduïda l'any 2003 a la RFC 3546 perquè un client sol·liciti el certificat correcte per a un nom de domini, ) durant una encaixada de mans TLS. Un atacant només ha d'enviar un SNI que acabi amb una barra invertida ("") i un caràcter nul (" ").
Els investigadors de Qualys han descobert un error a la funció string_printing(tls_in.sni), que implica una escapada incorrecta de "". Com a resultat, la barra invertida s'escriu sense escapar al fitxer de capçalera de la cola d'impressió. A continuació, aquest fitxer es llegeix amb drets privilegiats per la funció spool_read_header(), la qual cosa provoca un desbordament de la pila.
Val la pena assenyalar que de moment, els desenvolupadors d'Exim han creat un PoC de vulnerabilitats amb l'execució d'ordres en un servidor vulnerable remot, però encara no està disponible públicament. A causa de la facilitat d'explotació de l'error, és només qüestió de temps, i bastant curt.
Es pot trobar un estudi més detallat de Qualys .
Utilitzant SNI a TLS
Nombre de servidors públics potencialment vulnerables
Segons les estadístiques d'un gran proveïdor d'allotjament E-Soft Inc a partir de l'1 de setembre, als servidors llogats, la versió 4.92 s'utilitza en més del 70% dels amfitrions.
version
Nombre de servidors
Per cent
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Altres versions
25568
5.04%
Estadístiques de l'empresa E-Soft Inc
Si utilitzeu un cercador , després de 5,250,000 a la base de dades del servidor:
- uns 3,500,000 utilitzen Exim 4.92 (uns 1,380,000 utilitzen SSL/TLS);
- més de 74,000 utilitzant 4.92.1 (uns 25,000 utilitzant SSL/TLS).
Així, els servidors potencialment vulnerables d'Exim coneguts i accessibles públicament són aproximadament 1.5 milions.
Busqueu servidors Exim a Shodan
protecció
- L'opció més senzilla, però no recomanada, és no utilitzar TLS, cosa que farà que els missatges de correu electrònic es reenviïn en clar.
- Per evitar l'explotació de la vulnerabilitat, seria més preferible actualitzar a la versió .
- Si és impossible actualitzar o instal·lar una versió pegada, podeu establir una ACL a la configuració d'Exim per a l'opció acl_smtp_mail amb les regles següents:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Font: www.habr.com