数以百万计的Exim服务器容易受到root授权的攻击

科技2020-08-18 12:39:50
导读数以百万计的Exim服务器容易受到安全漏洞的攻击,当被利用时可以使攻击者能够以root权限运行恶意代码。Exim团队

数以百万计的Exim服务器容易受到安全漏洞的攻击,当被利用时可以使攻击者能够以root权限运行恶意代码。

Exim团队在本周的一份咨询报告中表示,所有运行4.92.1及以前版本的Exim服务器都是易受攻击的。版本4.92.2于9月6日星期五发布,以解决该问题。

这个问题对许多人来说似乎并不重要,但Exim是当今最流行的软件之一。Exim是一个邮件传输代理(MTA),它是在电子邮件服务器后台运行的软件。虽然电子邮件服务器经常发送或接收消息,但它们也充当其他人电子邮件的中继。这是MTA的工作。

根据2019年6月的调查显示,Exim是目前最流行的MTA,市场份额超过57%。它的成功可归因于它与大量的Linux发行版捆绑在一起,从Debian到Red Hat。

但本周五,Exim团队警告其软件中的一个关键漏洞。如果Exim服务器配置为接受传入的TLS连接,则攻击者可以发送附加到SNI数据包末尾的恶意反斜杠空序列,并以root权限运行恶意代码。

7月初,一位名叫Zerons的安全研究人员报告了这个问题,并且Exim团队已经对这个问题进行了最严格的保密。

由于易于利用,根访问授予效果以及大量易受攻击的服务器,因此保密是合理的。

BinaryEdge搜索列出了运行版本4.92.1及更早版本(易受攻击版本)的520多万台Exim服务器。

ZDNet从威胁英特尔社区的消息来源了解到这个问题没有公共漏洞利用代码,但制作漏洞利用程序相对简单。此外,在野外没有观察到任何主动攻击,但过去24小时内Exim服务器的扫描已经加剧。

服务器所有者可以通过禁用对Exim服务器的TLS支持来缓解此漏洞(跟踪为CVE-2019-15846)。但是,这可能不是一种选择,因为这会以明文形式暴露电子邮件流量,并使其容易受到嗅探攻击和拦截。

对于生活在欧盟的Exim所有者,不建议采取这种缓解措施,因为这可能会使他们的公司面临数据泄漏,以及随后的GDPR罚款。

但是,也有一个问题。默认情况下,Exim安装默认情况下不启用TLS支持。尽管如此,Linux发行版中包含的Exim实例默认情况下启用了TLS。由于大多数服务器管理员使用操作系统映像,并且很少有人手动下载Exim,因此大多数Exim实例很可能容易受到攻击。

此外,附带cPanel(一种流行的Web托管软件)的Exim实例默认也支持TLS。好消息是,cPanel员工迅速将Exim补丁整合到他们开始向客户推出的cPanel更新中。

如果您不知道Exim的服务器TLS状态,那么此时最好的选择是安装Exim补丁,因为这是完全防止任何活动利用的唯一方法。

这是今年夏天修补的第二个主要Exim漏洞。6月,Exim团队修补了CVE-2019-10149,这是一个被称为“ Wizard的回归”的漏洞,它还使攻击者能够在远程Exim服务器上运行具有root权限的恶意代码。

在公开披露后一周内,“Wizard的回归”漏洞得到了积极的利用,有人在三天后制作了一个Azure蠕虫,迫使微软向所有客户发送安全警报。

安全专家充分期待这一最新的Exim安全漏洞也将受到积极开发。

免责声明:本文由用户上传,如有侵权请联系删除!