Bild: Krzysztof Kowalik
Miljontals Exim servrar är utsatta för att en säkerhet bugg som när utnyttjas kan ge angripare möjlighet att köra skadlig kod med root-privilegier.
Alla Exim-servrar som kör version 4.92.1 och innan är utsatta, de Exim laget sa i en rådgivande denna vecka. Version 4.92.2 släpptes på fredag, September 6, för att åtgärda problemet.
Frågan kan tyckas oviktigt för många, men Exim är en av de vanligaste software idag. Exim är ett mail transfer agent (MTA) som är ett program som körs i bakgrunden av e-postservrar. Medan e-post servrar ofta skicka eller ta emot meddelanden, även de agera som mellanhänder för andra människors e-post. Detta är MTA jobb.
Exim är den mest förekommande MTA idag, med en marknadsandel på över 57%, enligt en juni 2019 undersökning. Dess framgång kan tillskrivas det faktum att det varit kombinerade med en massa Linux-distributioner, från Debian, Red Hat.
Men denna fredag, Exim team varnade för en kritisk utnyttja i sin programvara. Om Exim-servern är konfigurerad för att acceptera inkommande TLS-anslutningar, en angripare kan skicka en skadlig backslash null sekvens ansluten till slut på en SNI-paket och att skadlig kod körs med root-privilegier.
Exim innan 4.92.2 det möjligt för angripare utifrån att exekvera godtycklig kod som root via ett omvänt snedstreck på slutet.
🤦♂️🤦♀️🤦♂️🤦♀️🤦♂️🤦♀️ https://t.co/zpx3ZtQMLw
— Dålig Paket Rapport (@bad_packets) 6 September 2019
Frågan rapporterades i början av juli av en säkerhet forskare vid namn Zerons, och har lappat i största hemlighet av Exim team.
Den tystnadsplikt som var motiverat på grund av den lätthet med exploatering, root-access som ger effekt, och på grund av det stora antalet utsatta servrar.
En BinaryEdge sök listor över 5,2 miljoner Exim-servrar som kör version 4.92.1 och tidigare versioner som är sårbara).
Bild: ZDNet
ZDNet förstår från källor i hot intel samhället att det inte finns någon offentlig utnyttja koden för den här frågan, men att mejsla fram en exploit är relativt trivialt. Ytterligare, det har inte varit några aktiva attacker som observeras i det vilda, men söker för Exim-servrar har intensifierats under de senaste 24 timmarna.
Ägare Server kan minska denna sårbarhet — spårade som CVE-2019-15846 — genom att inaktivera TLS-stöd för Exim server. Detta kan dock inte vara ett alternativ, när detta utsätter e-post trafik i klartext, och gör det sårbara för att sniffa attacker och avlyssning.
Denna begränsning är inte rekommenderat för Exim ägare som bor i EU, eftersom detta kan exponera sitt företag att data läcker, och den efterföljande GDPR böter.
Men det är också en hake. Som standard, Exim anläggningar inte kommer med TLS-stöd är aktiverat som standard. Ändå Exim fall ingår med Linux-distributioner skickar med TLS som standard aktiverat. Eftersom de flesta server-administratörer kan använda OS bilder, och få gå igenom processen att ladda ner Exim manuellt, mest Exim fall är troligen att utsatta.
Dessutom, Exim fall att fartyget med cPanel, ett populärt webbhotell program, som också har stöd för TLS som standard. Den goda nyheten är att cPanel personalen flyttade snabbt att integrera Exim patch till en cPanel uppdatering att de börjat rulla ut till kunder.
Exim har publicerat en fix för CVE-2019-15846. All produktion versioner av cPanel & WHM har lappat. Se här för detaljer: https://t.co/iR9ptUldRg
— cPanel (@cPanel) 6 September 2019
Om du inte vet din Exim-servrar TLS-status, den bästa insatsen på denna punkt är att installera Exim patch, eftersom detta är det enda sättet att helt förhindra att någon aktivt utnyttjande.
Detta är den andra stora Exim sårbarhet lappat för denna sommar. I juni Exim team lappat CVE-2019-10149, en sårbarhet känd som “Return of the WIZard”, som också beviljats angripare möjlighet att köra skadlig kod med root-privilegier på fjärrkontrollen Exim-servrar.
Den “Return of the WIZard” sårbarhet kom under aktiv användning inom en vecka efter offentliggörandet, och någon specialskriven ett Azurblått mask tre dagar efter det, tvingar Microsoft att skicka ut en säkerhet varning till alla kunder.
Experter på säkerhet fullt förväntar sig att den senaste Exim säkerhetsbrist kommer också under aktiv användning.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO