Zuletzt, im Frühsommer, gab es aufgrund der Sicherheitslücke CVE-4.92-2019 weit verbreitete Forderungen nach einem Update von Exim auf Version 10149 (). Und kürzlich stellte sich heraus, dass die Sustes-Malware beschlossen hat, diese Schwachstelle auszunutzen.
Jetzt können sich alle, die dringend aktualisiert haben, wieder „freuen“: Am 21. Juli 2019 entdeckte Forscher Zerons eine kritische Schwachstelle in Exim Mail Transfer Agent (MTA) bei Verwendung von TLS für Versionen von 4.80 zu 4.92.1 inklusive, Remote-Zugriff möglich Code mit privilegierten Rechten ausführen ().
Sicherheitslücke
Die Schwachstelle besteht, wenn beim Aufbau einer sicheren TLS-Verbindung sowohl die GnuTLS- als auch die OpenSSL-Bibliothek verwendet werden.
Laut Entwickler Heiko Schlittermann verwendet die Konfigurationsdatei in Exim standardmäßig kein TLS, viele Distributionen erstellen jedoch bei der Installation die notwendigen Zertifikate und ermöglichen eine sichere Verbindung. Auch neuere Versionen von Exim installieren die Option tls_advertise_hosts=* und generieren Sie die erforderlichen Zertifikate.
hängt von der Konfiguration ab. Die meisten Distributionen aktivieren es standardmäßig, aber Exim benötigt ein Zertifikat+Schlüssel, um als TLS-Server zu arbeiten. Wahrscheinlich erstellen Distributionen während der Einrichtung ein Zertifikat. Neuere Exims haben die Option tls_advertise_hosts standardmäßig auf „*“ und erstellen ein selbstsigniertes Zertifikat, falls keines bereitgestellt wird.
Die Schwachstelle selbst liegt in der fehlerhaften Verarbeitung von SNI (Server Name Indication, einer 2003 in RFC 3546 eingeführten Technologie, mit der ein Client das richtige Zertifikat für einen Domänennamen anfordern kann). ) während eines TLS-Handshakes. Ein Angreifer muss lediglich eine SNI senden, die mit einem Backslash („“) und einem Nullzeichen („“) endet.
Forscher von Qualys haben einen Fehler in der Funktion string_printing(tls_in.sni) entdeckt, der zu einer falschen Escapezeichenfolge von „“ führt. Dadurch wird der Backslash ohne Escapezeichen in die Druckspool-Headerdatei geschrieben. Diese Datei wird dann mit privilegierten Rechten von der Funktion spool_read_header() gelesen, was zu einem Heap-Überlauf führt.
Es ist erwähnenswert, dass Exim-Entwickler derzeit einen PoC von Schwachstellen bei der Ausführung von Befehlen auf einem entfernten anfälligen Server erstellt haben, dieser jedoch noch nicht öffentlich verfügbar ist. Aufgrund der einfachen Ausnutzung des Fehlers ist es nur eine Frage der Zeit und recht kurz.
Eine ausführlichere Studie von Qualys finden Sie hier .
Verwendung von SNI in TLS
Anzahl potenziell anfälliger öffentlicher Server
Laut Statistik eines großen Hosting-Anbieters E-Soft Inc Seit dem 1. September ist auf gemieteten Servern die Version 4.92 auf über 70 % der Hosts im Einsatz.
Version
Anzahl der Server
Prozent
4.92.1
6471
1.28%
4.92
376436
74.22%
4.91
58179
11.47%
4.9
5732
1.13%
4.89
10700
2.11%
4.87
14177
2.80%
4.84
9937
1.96%
Andere Versionen
25568
5.04%
Unternehmensstatistik von E-Soft Inc
Wenn Sie eine Suchmaschine verwenden , dann von 5,250,000 in der Serverdatenbank:
- etwa 3,500,000 verwenden Exim 4.92 (ungefähr 1,380,000 verwenden SSL/TLS);
- über 74,000 mit 4.92.1 (ca. 25,000 mit SSL/TLS).
Daher gibt es etwa öffentlich bekannte und zugängliche Exim-Server mit potenziell anfälligen Sicherheitsrisiken 1.5 Mio..
Suchen Sie nach Exim-Servern in Shodan
Schutz
- Die einfachste, aber nicht empfohlene Option besteht darin, TLS nicht zu verwenden, was dazu führt, dass E-Mail-Nachrichten im Klartext weitergeleitet werden.
- Um eine Ausnutzung der Schwachstelle zu vermeiden, wäre es vorzuziehen, auf die Version zu aktualisieren .
- Wenn es nicht möglich ist, eine gepatchte Version zu aktualisieren oder zu installieren, können Sie in der Exim-Konfiguration eine ACL für die Option festlegen acl_smtp_mail mit folgenden Regeln:
# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}
Source: habr.com