Billede: Krzysztof Kowalik
Millioner af Exim-servere er sårbare over for en sikkerheds fejl, at når det udnyttes kan give hackere mulighed for at køre skadelig kode med root privilegier.
Alle Exim-servere, der kører version 4.92.1, og før de er udsatte, Exim holdet sagde i en rådgivende i denne uge. Version 4.92.2 blev udgivet den fredag, September 6, for at løse problemet.
Spørgsmålet kan synes ubetydelige, at mange, men Exim er en af de mest udbredte software i dag. Exim er en mail transfer agent (MTA), som er software, der kører i baggrunden af e-mail-servere. Mens e-mail-servere ofte sende eller modtage beskeder, de fungerer også som led i andre folks e-mails. Dette er MTA ‘ s job.
Exim er den mest udbredte MTA i dag, med en markedsandel på over 57%, ifølge en juni 2019 undersøgelse. Dens succes kan tilskrives det faktum, at det er blevet pakket med en masse Linux-distributioner, fra Debian, Red Hat.
Men denne fredag, Exim team advaret af en kritisk udnytte i sin software. Hvis Exim-serveren er konfigureret til at acceptere indgående TLS-forbindelser, en hacker kan sende en ondsindet backslash-null-sekvens, der er knyttet til afslutningen af en SNI pakke og køre skadelig kode med root privilegier.
Exim, før 4.92.2 gjorde det muligt for fjernangribere at udføre vilkårlig kode som root via en afsluttende omvendt skråstreg.
🤦♂️🤦♀️🤦♂️🤦♀️🤦♂️🤦♀️ https://t.co/zpx3ZtQMLw
— Dårlig Pakker Rapport (@bad_packets) September 6, 2019
Spørgsmålet blev rapporteret i begyndelsen af juli med en sikkerheds-forsker ved navn Zerons, og er blevet lappet i yderste hemmelighed af Exim team.
Den tavshedspligt, der var berettiget på grund af den lethed, udnyttelse, root-adgang-ydelse effekt, og på grund af det store antal af sårbare servere.
En BinaryEdge søg lister over 5,2 millioner Exim-servere, der kører version 4.92.1 og tidligere (i de versioner, der er sårbare).
Billede: ZDNet
ZDNet forstår fra kilder i den trussel intel samfund, at der er ingen offentlig exploit-kode til dette spørgsmål, men at skabe en exploit er forholdsvis triviel. Yderligere, har der ikke været nogen aktive angreb, der er observeret i naturen, men scanninger til Exim-servere er blevet intensiveret i løbet af de sidste 24 timer.
Server ejere, der kan mindske denne sårbarhed — registreret som CVE-2019-15846 — ved at deaktivere TLS support for Exim-server. Dette kan dog ikke være en mulighed, da dette udsætter e-mail-trafik i klartekst, og gør det sårbare for at snuse til angreb og aflytning.
Denne afhjælpning er ikke anbefalet for Exim ejere, der bor i EU, da dette kan udsætte dig for deres virksomheder til data lækager, og den efterfølgende GDPR bøder.
Men der er også en fange. Som standard, Exim anlæg, der ikke kommer med TLS support som standard aktiveret. Ikke desto mindre, Exim tilfælde inkluderet i Linux-distributioner gør skibet med TLS som standard aktiveret. Da de fleste server-administratorer, der bruger OS billeder, og få går gennem processen med at downloade Exim manuelt, de fleste Exim tilfælde er mest sandsynligt sårbare.
Desuden, Exim tilfælde, at skibet med cPanel, som er en populær web-hosting-software, også understøtter TLS som standard. Den gode nyhed er, at cPanel personale flyttede hurtigt til at integrere Exim patch i en cPanel opdatering, at de begyndte at rulle ud til kunderne.
Exim har udgivet en rettelse til CVE-2019-15846. Al produktion versioner af cPanel & WHM er blevet lappet. Se her for nærmere oplysninger: https://t.co/iR9ptUldRg
— cPanel (@cPanel) September 6, 2019
Hvis du ikke kender din Exim ‘ s servere TLS-status, er det bedste bud på dette punkt er at installere Exim plaster, da dette er den eneste måde at forhindre enhver aktiv udnyttelse.
Dette er den anden store Exim sårbarhed lappet denne sommer. I juni, Exim team lappet CVE-2019-10149, en svaghed, der er kendt som “Return of the WIZard”, som også fik angriberne evnen til at køre skadelig kode med root-rettigheder på fjernbetjeningen Exim-servere.
“Return of The WIZard” sårbarhed kom under aktiv udnyttelse inden for en uge efter offentliggørelse, og nogen har lavet en Azurblå orm tre dage efter, at tvinge Microsoft til at sende en sikkerhedsadvarsel til alle kunder.
Sikkerhed eksperter forventer, at denne seneste Exim sikkerhedshul vil også komme under aktiv udnyttelse.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO