ProHoster > Blog > Pangangasiwa > Patched Exim - patch ulit. Fresh Remote Command Execution sa Exim 4.92 sa isang kahilingan

Patched Exim - patch ulit. Fresh Remote Command Execution sa Exim 4.92 sa isang kahilingan

Patched Exim - patch ulit. Fresh Remote Command Execution sa Exim 4.92 sa isang kahilingan

Kamakailan lamang, sa unang bahagi ng tag-araw, nagkaroon ng malawakang panawagan para sa Exim na ma-update sa bersyon 4.92 dahil sa kahinaan ng CVE-2019-10149 (Apurahang i-update ang Exim sa 4.92 - mayroong aktibong impeksiyon / Sudo Null IT News). At kamakailan lang, napagdesisyunan ng malware ng Sustes na samantalahin ang kahinaang ito.

Ngayon lahat ng mga agad na nag-update ay maaaring "magsaya" muli: noong Hulyo 21, 2019, natuklasan ng mananaliksik na Zerons ang isang kritikal na kahinaan sa Exim Mail Transfer agent (MTA) kapag gumagamit ng TLS para sa mga bersyon mula sa 4.80 4.92.1 up kasama, na nagpapahintulot sa remote isagawa ang code na may mga pribilehiyong karapatan (CVE-2019-15846).

Kakayahang mangyari

Ang kahinaan ay naroroon kapag ginagamit ang parehong mga aklatan ng GnuTLS at OpenSSL kapag nagtatatag ng secure na koneksyon sa TLS.

Ayon sa developer na si Heiko Schlittermann, ang configuration file sa Exim ay hindi gumagamit ng TLS bilang default, ngunit maraming distribusyon ang gumagawa ng mga kinakailangang certificate habang nag-i-install at nagpapagana ng secure na koneksyon. Gayundin ang mga mas bagong bersyon ng Exim ay nag-install ng opsyon tls_advertise_hosts=* at bumuo ng mga kinakailangang sertipiko.

depende sa configuration. Karamihan sa mga distro ay pinapagana ito bilang default, ngunit ang Exim ay nangangailangan ng isang certificate+key upang gumana bilang isang TLS server. Marahil ang mga Distro ay lumikha ng isang Sert sa panahon ng pag-setup. Ang mga mas bagong Exim ay may tls_advertise_hosts na opsyon na nagde-default sa "*" at lumikha ng self signed certificate, kung walang ibinigay.

Ang kahinaan mismo ay nakasalalay sa maling pagproseso ng SNI (Server Name Indication, isang teknolohiyang ipinakilala noong 2003 sa RFC 3546 para sa isang kliyente na humiling ng tamang sertipiko para sa isang domain name, Pamamahagi ng pamantayang TLS SNI / WEBO Group Blog / Sudo Null IT News) habang nakikipagkamay sa TLS. Kailangan lang magpadala ng isang SNI na nagtatapos sa isang backslash ("") at isang null na character (" ").

Natuklasan ng mga mananaliksik mula sa Qualys ang isang bug sa string_printing(tls_in.sni) function, na nagsasangkot ng maling pagtakas ng "". Bilang resulta, ang backslash ay nakasulat nang hindi nakatakas sa print spool header file. Ang file na ito ay babasahin nang may mga pribilehiyong karapatan ng spool_read_header() function, na humahantong sa heap overflow.

Kapansin-pansin na sa ngayon, ang mga developer ng Exim ay lumikha ng isang PoC ng mga kahinaan sa pagpapatupad ng mga utos sa isang malayong mahinang server, ngunit hindi pa ito magagamit sa publiko. Dahil sa kadalian ng pagsasamantala ng bug, ito ay isang oras lamang, at medyo maikli.

Ang isang mas detalyadong pag-aaral ni Qualys ay matatagpuan dito.

Patched Exim - patch ulit. Fresh Remote Command Execution sa Exim 4.92 sa isang kahilingan

Paggamit ng SNI sa TLS

Bilang ng mga potensyal na mahina na pampublikong server

Ayon sa mga istatistika mula sa isang malaking hosting provider E-Soft Inc noong Setyembre 1, sa mga inuupahang server, ang bersyon 4.92 ay ginagamit sa higit sa 70% ng mga host.

bersyon
Bilang ng Mga Servers
Porsiyento

4.92.1
6471
1.28%

4.92
376436
74.22%

4.91
58179
11.47%

4.9
5732
1.13%

4.89
10700
2.11%

4.87
14177
2.80%

4.84
9937
1.96%

Iba pang mga bersyon
25568
5.04%

Mga istatistika ng kumpanya ng E-Soft Inc

Kung gumagamit ka ng isang search engine Shodan, pagkatapos ay sa 5,250,000 sa database ng server:

  • humigit-kumulang 3,500,000 ang gumagamit ng Exim 4.92 (mga 1,380,000 ang gumagamit ng SSL/TLS);
  • mahigit 74,000 gamit ang 4.92.1 (mga 25,000 gamit ang SSL/TLS).

Kaya, kilala at naa-access ng publiko ang Exim na potensyal na masusugatan na mga server ay tungkol sa 1.5M.

Patched Exim - patch ulit. Fresh Remote Command Execution sa Exim 4.92 sa isang kahilingan

Maghanap ng mga Exim server sa Shodan

proteksyon

  • Ang pinakasimpleng, ngunit hindi inirerekomenda, na opsyon ay ang huwag gumamit ng TLS, na magreresulta sa mga mensaheng email na maipapasa sa malinaw.
  • Upang maiwasan ang pagsasamantala sa kahinaan, mas mainam na mag-update sa bersyon Exim Internet Mailer 4.92.2.
  • Kung imposibleng i-update o i-install ang isang patched na bersyon, maaari kang magtakda ng ACL sa configuration ng Exim para sa opsyon acl_smtp_mail na may mga sumusunod na patakaran: 
    # to be prepended to your mail acl (the ACL referenced
# by the acl_smtp_mail main config option)
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_sni}}}}
deny    condition = ${if eq{}{${substr{-1}{1}{$tls_in_peerdn}}}}

Pinagmulan: www.habr.com

Magdagdag ng komento