严重的Exim TLS漏洞让攻击者以root身份远程执行命令

 
Exim邮件传输代理(MTA)软件受版本4.80中至少包括4.92.1的严重严重性漏洞的影响。
该错误允许本地或未经身份验证的远程攻击者在接受TLS连接的服务器上执行具有root权限的程序。
该漏洞被追踪为CVE-2019-15846–最初由Zerons在7月21日报道并由Qualys的研究团队进行分析 – 是“通过在最初的TLS握手期间发送以反斜杠无效序列结束的SNI”可利用，这导致RCE在邮件服务器上具有root权限。
受影响的Exim版本中的SMTP传递过程具有缓冲区溢出。 “在默认的运行时配置中，这可以在TLS协商期间利用精心设计的ServerName Indication(SNI)数据进行利用，”Exim的咨询说。 “在其他配置中，它可以通过精心设计的客户端TLS证书进行利用。”
SNI是一种TLS协议组件，旨在使服务器能够提供不同的TLS证书，以验证和保护与同一IP地址后面的网站的连接。
TLS握手麻烦
“如果您的Exim服务器接受TLS连接，则它很容易受到攻击。这不依赖于TLS库，因此GnuTLS和OpenSSL都会受到影响，”Exim的开发团队表示。
虽然Exim团队提供的默认配置文件默认没有启用TLS，但BleepingComputer已经了解到某些Linux发行版在启用时会分发Exim。
Exim开发人员Heiko Schlittermann证实了这一点，说它“取决于配置。大多数发行版默认启用它，但Exim需要证书+密钥才能作为TLS服务器。可能Distros在安装过程中创建一个证书。较新的Exims有tls_advertise_hosts选项默认为“*”并创建自签名证书(如果没有提供)。“
服务器管理员应安装Exim 4.92.2，这是修补CVE-2019-15846漏洞的最新版本。
如果无法进行更新，一种可能的缓解措施是防止可能通过SNI对未修补的服务器发起的攻击是不提供TLS，这是一种缓解建议，但不是软件开发人员推荐的。
另一个缓解选项是添加以下规则作为邮件ACL的一部分(主配置选项“acl_smtp_mail”引用的ACL)，它检查以反斜杠结尾的对等DN或SNI，如果找到，则拒绝连接阻止当前已知的攻击媒介：
deny condition = $ {if eq {\\} {$ {substr {-1} {1} {$ tls_in_sni}}}}
deny condition = $ {if eq {\\} {$ {substr {-1} {1} {$ tls_in_peerdn}}}}
服务器暴露于远程代码执行攻击
专门从事网络服务器调查的公司E-Soft Inc于9月1日发布的邮件服务器调查显示，Exim是目前使用最多的MX服务器，在1,740,809个邮件服务器中占57.13%，可见507,200个Exim服务器在互联网上接受联系。
根据E-Soft公司提供的版本细分，超过376,000个运行Exim 4.92，而只有超过6,400个运行Exim 4.92.1：
版本服务器数百分比
4.92 376436 74.22%
4.91 58179 11.47%
4.87 2.80 14177%
4.89 10700 2.11%
4.84 9937 1.96%
4.92.1 6471 1.28%
4.9 5732 1.13%
其他版本25568 5.04%
尽管E-Soft公司表示活跃Exim服务器的数量刚刚超过500,000，但使用Shodan搜索引擎生成的互联网设备报告估计服务器数量约为5,250,000，超过3,500,000使用Exim 4.92和超过74,000运行4.92.1。
“我们不知道有多少Exim服务器正在运行，以及它们是否提供TLS。但我怀疑，大多数运行的Exim服务器都处于易受攻击的版本范围4.80-> 4.92.1，”Schlittermann告诉BleepingComputer。 (强调我们的)
无论哪种方式，重要的是如果没有紧急修补CVE-2019-15846，数十万甚至数百万的Exim服务器都会受到远程命令执行攻击。
没有任何漏洞可以找到，PoC漏洞可用
9月4日，Exim的开发团队在Openwall信息安全邮件列表上发布了一个早期警告，让每个人都提前注意到，随着4.92.2版本的发布，影响Exim的关键安全漏洞将在今天打补丁。
Qualys的研究团队表示，他们确实有一个工作概念验证(PoC)漏洞，旨在表明漏洞可以被利用，并且“可能存在其他开发方法”。
Schlittermann告诉BleepingComputer，Exim开发团队不会支持今天针对CVE-2019-15846安全漏洞发布的修复程序，但是，如果他们需要帮助后退修复程序，他们将“支持后端程序。”
“从我们的观点来看，只有一种方法可以解决这些问题：升级到最新版本.Exim开发团队努力保持最新版本与旧配置的向后兼容性，”Schlittermann补充道。
此外，尽管Exim的代码库为解决此漏洞所做的一些更改打破了一些旧的配置，“此类更改已提前公布。”
“感谢那些帮助我们通过报告和/或分析我们创建的软件来帮助我们改进Exim的用户和公司。这就是开源应该如何运作。感谢您不要责怪我们，”Schlittermann总结道。
未修补的Exim服务器以前受到攻击
7月，一个类似的漏洞跟踪为CVE-2019-13917，并且影响了Exim 4.85，包括4.92，修补了4.92.1版本，这是一个使本地或远程攻击者能够执行具有异常配置的服务器的root权限的程序的漏洞。
此前，在6月初，另一个关键的安全问题被追踪为CVE-2019-10149允许黑客远程利用运行Exim 4.87到4.91的MX服务器进行某些非默认配置，而本地攻击者将能够利用所有服务器而不管他们的配置。
Exim服务器CVE-2019-10149补丁时间表
CVE-2019-10149补丁时间表
一周后，即6月13日，攻击者开始针对易受攻击的Exim服务器通过SSH获得永久root访问权，大约70%的Exim邮件服务器安装了针对CVE-2019-10149缺陷修补的4.92版本，正如RiskIQ Leading所发现的那样威胁研究员Yonathan Klijnsma。
6月17日，微软发布了关于Linux蠕虫的警告，该蠕虫主动针对运行易受攻击的Exim版本的Azure Linux VM。
尽管Redmond当时表示可以采取一些缓解措施来阻止攻击的蠕虫功能，但Azure服务器仍然可能被攻击者扫描和利用此漏洞感染或攻击。
现在，唯一的问题不是黑客是否会开始扫描和攻击未修补的Exim服务器，但什么时候会发生。
最有可能的是，一系列攻击将在攻击可用时立即启动，并准备用于通过Internet访问的所有易受攻击的计算机。
披露时间表
2019-07-21 – Zerons报告给security@exim.org
– Qualys分析
– 修复和测试
2019-09-02 – CVE分配
2019-09-03 – 详情请访问distros@vs.openwall.org,exim-maintainers@exim.org
– 授予对安全仓库的访问权限
2019-09-04 – 前往oss-security@lists.openwall.com，exim-users @ exim.org
2019-09-06 – 10.00 UTC协调发布日期
– 向oss-security，exim-users，公共存储库披露信息