Immagine: Krzysztof Kowalik
Milioni di Exim server sono vulnerabili ad un bug di sicurezza che, se sfruttate, possono concedere attaccanti la possibilità di eseguire codice dannoso con i privilegi di root.
Tutti Exim server che eseguono la versione 4.92.1 e prima sono vulnerabili, la Exim squadra ha detto in un advisory di questa settimana. Versione 4.92.2 è stato pubblicato il venerdì, settembre 6, per risolvere il problema.
Il problema potrebbe sembrare insignificante per molti, ma Exim è uno dei più diffusi software di oggi. Exim è un MTA (mail transfer agent), che è un software che viene eseguito in background del server di posta. Mentre l’e-mail spesso i server di inviare o ricevere messaggi, ma anche agire come relè per altre persone e-mail. Questo è il MTA di lavoro.
Exim è la più diffusa MTA oggi, con una quota di mercato di oltre il 57%, secondo un giugno 2019 indagine. Il suo successo può essere attribuito al fatto che è stato fornito in bundle con un gran numero di distribuzioni Linux, Debian, Red Hat.
Ma questo venerdì, il Exim team ha avvertito di un critico di sfruttare il suo software. Se la Exim server è configurato per accettare connessioni TLS, un utente malintenzionato può inviare un dannoso barra rovesciata-null sequenza fissato per la fine di un SNI pacchetto e eseguire codice dannoso con i privilegi di root.
Exim prima 4.92.2 consente agli aggressori remoti di eseguire codice arbitrario come utente root, tramite una barra rovesciata.
🤦♂️🤦♀️🤦♂️🤦♀️🤦♂️🤦♀️ https://t.co/zpx3ZtQMLw
— Bad Pacchetti di Report (@bad_packets) 6 settembre 2019
Il problema è stato segnalato all’inizio di luglio da un ricercatore di sicurezza ha chiamato Zerons, ed è stato aggiornato nella massima segretezza da parte del Exim squadra.
Il segreto è giustificato a causa della facilità di sfruttamento, l’accesso come root-concessione effetto, e a causa del grande numero di server vulnerabile.
Un BinaryEdge elenchi di ricerca oltre 5,2 milioni di Exim server che eseguono la versione 4.92.1 e precedenti (con le versioni vulnerabili).
Immagine: ZDNet
ZDNet capisce da fonti di minaccia intel comunità che non c’è pubblico codice exploit per questo problema, ma che di creazione di un exploit è relativamente banale. Inoltre, non è mai stata attiva gli attacchi osservati in natura, ma le scansioni per Exim server si sono intensificati nelle ultime 24 ore.
I proprietari dei Server è in grado di attenuare questa vulnerabilità — monitorati come CVE-2019-15846 — disabilitando il supporto TLS per la Exim server. Tuttavia, questo non può essere un’opzione, come questo espone il traffico e-mail in chiaro, e lo rende vulnerabile ad annusare gli attacchi e le intercettazioni.
Questa attenuazione non è raccomandato per Exim proprietari vivono nell’UE, in quanto questo può esporre le loro aziende per le fughe di dati e la successiva GDPR multe.
Tuttavia, c’è anche una cattura. Per impostazione predefinita, Exim impianti non sono dotati di supporto TLS abilitata per impostazione predefinita. Tuttavia, la Exim istanze incluso con distribuzioni Linux fornito con TLS abilitata per impostazione predefinita. Poiché la maggior parte gli amministratori del server di utilizzare le immagini del sistema operativo e qualche di passare attraverso il processo di download di Exim manualmente, più Exim istanze sono probabilmente vulnerabili.
Inoltre, Exim istanze nave con cPanel, un popolare di web hosting di software, anche il supporto TLS per impostazione predefinita. La buona notizia è che cPanel personale si è spostato rapidamente per integrare la Exim patch in un cPanel aggiornamento che hanno iniziato a rotazione per i clienti.
Exim ha pubblicato un fix per CVE-2019-15846. Tutte le versioni di produzione di cPanel & WHM è stato corretto. Vedi qui per i dettagli: https://t.co/iR9ptUldRg
— cPanel (@cPanel) 6 settembre 2019
Se non conosci il tuo Exim server TLS stato, la scelta migliore a questo punto è quello di installare la Exim patch, in quanto questo è l’unico modo per evitare completamente qualsiasi attività di sfruttamento.
Questo è il secondo grande Exim vulnerabilità patch di questa estate. Nel mese di giugno, la Exim team patch CVE-2019-10149, una vulnerabilità conosciuta come “il Ritorno del Mago”, che ha anche concesso attaccanti la possibilità di eseguire codice dannoso con i privilegi di root sul telecomando Exim server.
Il “Ritorno del mago” vulnerabilità è venuto in attivo di sfruttamento all’interno di una settimana dopo la divulgazione al pubblico, e qualcuno predisposto Azzurro worm tre giorni dopo, costringendo Microsoft a inviare un avviso di sicurezza per tutti i clienti.
Gli esperti di sicurezza aspettiamo che questa ultima Exim falla di sicurezza anche in attivo di sfruttamento.
Sicurezza
Android app Google Play con 100 milioni di download inizia a distribuire malware
Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack
Un nuovo IOT botnet sta infettando Android-based set-top box
Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO