Afbeelding: Krzysztof Kowalik
Miljoenen Exim servers kwetsbaar zijn voor een security bug in dat wanneer benut kan verlenen aanvallers de mogelijkheid om een kwaadaardige code uitvoeren met root rechten.
Alle Exim servers die draaien op versie 4.92.1 en voor zijn kwetsbaar, de Exim team zei in een adviserende deze week. Versie 4.92.2 werd uitgebracht op vrijdag, 6 September, om het probleem te verhelpen.
Het probleem kan onbelangrijk lijken te veel, maar Exim is een van de meest gangbare software vandaag. Exim is een mail transfer agent (MTA), dat is software die draait op de achtergrond van e-mail servers. Terwijl de e-mail servers vaak het verzenden of ontvangen van berichten, ze treden ook op als relais voor andere mensen e-mails. Dit is de MTA ‘ s werk.
Exim is de meest voorkomende MTA vandaag, met een marktaandeel van meer dan 57%, volgens een in juni 2019 enquête. Het succes kan worden toegeschreven aan het feit dat het is gebundeld met een keur van Linux-distro ‘ s, van Debian, Red Hat.
Maar deze vrijdag de Exim team gewaarschuwd voor een kritische exploiteren in de software. Als de Exim-server is geconfigureerd om inkomende TLS-verbindingen, kan een aanvaller stuurt een kwaadaardige backslash-null-reeks gehecht aan het einde van een SNI-pakket en een kwaadaardige code uitvoeren met root rechten.
Exim voordat 4.92.2 kunnen externe aanvallers willekeurige code kan uitvoeren als root via een backslash ( ).
🤦♂️🤦♀️🤦♂️🤦♀️🤦♂️🤦♀️ https://t.co/zpx3ZtQMLw
— Slechte Pakketten Rapport (@bad_packets) 6 September 2019
Het probleem werd gemeld in het begin van juli door een security-onderzoeker genaamd Zerons, en heeft gepatched in de uiterste geheimhouding door de Exim team.
De geheimhouding gerechtvaardigd is omwille van het gemak van uitbuiting, de toegang tot de root-toekenning effect, en vanwege het grote aantal kwetsbare servers.
Een BinaryEdge zoeken bevat meer dan 5,2 miljoen Exim servers die draaien op versie 4.92.1 en eerder (met versies die kwetsbaar zijn).
Afbeelding: ZDNet
ZDNet begrijpt uit bronnen in de dreiging intel gemeenschap dat er geen openbaar exploit code voor dit probleem, maar dat het vervaardigen van een exploit is relatief onbelangrijk. Verder, zijn er nog geen een actieve aanvallen die in het wild, maar de scans voor Exim-servers zijn geïntensiveerd in de afgelopen 24 uur.
Server eigenaren kunnen tegen deze kwetsbaarheid — bijgehouden als CVE-2019-15846 — door TLS ondersteuning voor de Exim server. Dit kan echter geen optie, omdat dit bloot e-mail verkeer, in leesbare vorm, en maakt het kwetsbaar op te snuiven aanvallen en afluisteren.
Deze oplossing is niet aanbevolen voor Exim eigenaren wonen in de EU, aangezien dit kan bloot hun bedrijven naar het lekken van gegevens, en de daaropvolgende GDPR boetes.
Er is echter ook een te vangen. Standaard, Exim installaties komen niet met TLS-ondersteuning is standaard ingeschakeld. Niettemin, de Exim gevallen meegeleverd met Linux distro ‘ s doen het schip met TLS standaard ingeschakeld. Aangezien de meeste server beheerders gebruik maken van images van het BESTURINGSSYSTEEM, en slechts weinigen gaan door het proces van het downloaden van Exim handmatig, de meeste Exim exemplaren zijn waarschijnlijk kwetsbaar.
Bovendien, Exim exemplaren van dat schip met cPanel, een populaire web hosting software, ook ondersteuning voor TLS-standaard. Het goede nieuws is dat cPanel personeel snel verplaatst naar de integratie van de Exim patch in een cPanel update dat ze begonnen met het uitrollen van de klanten.
Exim publiceerde een fix voor CVE-2019-15846. Alle productie versies van cPanel & WHM gepatched. Zie hier voor meer informatie: https://t.co/iR9ptUldRg
— cPanel (@cPanel) 6 September 2019
Als je niet weet wat je Exim de servers van TLS status, de beste inzet op dit punt is het installeren van de Exim patch, want dit is de enige manier om volledig te voorkomen dat een actieve exploitatie.
Dit is de tweede grote Exim kwetsbaarheid patch deze zomer. In juni, de Exim team patched CVE-2019-10149, een kwetsbaarheid die bekend staat als “de Terugkeer van de WIZard”, die ook verleend aanvallers de mogelijkheid om een kwaadaardige code uitvoeren met root rechten op externe Exim servers.
De “Terugkeer” van de WIZard” kwetsbaarheid kwam onder actieve exploitatie binnen een week na de openbaarmaking van informatie, en iemand vervaardigde een Azuurblauwe worm na drie dagen, waardoor Microsoft voor het verzenden van een security alert voor alle klanten.
Security experts verwachten dat deze laatste Exim lek zal ook vallen onder de actieve exploitatie.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO