歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

數百萬Exim郵件服務器正在遭受攻擊

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿


據安全研究人員稱,目前還有數百萬的Exim郵件傳輸代理(MTA)運行的是未升級過的版本,所以這些郵件服務器的攻擊面非常大,攻擊者可以很容易對這些老舊版本發起攻擊。自Exim 4.90.1發布以來, Exim更新版本已應用到Linux發行版中,但網上那些未修復的系統仍是個問題。本次研究者發現,攻擊者在這些老舊版本的Exim郵件服務器中,通過SSH獲得對被攻擊設備的永久root訪問權限。
其實早在2018年3月,Exim就因CVE-2018-678漏洞,而影響了全球過半郵件服務器。
本次攻擊者,攻擊者利用的這個漏洞為CVE-2019-10149,并被Qualys命名為"The Return of the WIZard" ,該漏洞產生于 Exim 的 /src/deliver.c 文件中,由于 deliver_message() 函數未對收件地址進行合理校驗,導致存在代碼執行風險,這使得攻擊者可以在暴露的服務器上以root身份遠程運行任意命令。
其實,CVE-2019-10149早在本月的6月6日http://img.4hou.com/vulnerable/18420.html就被曝出,受影響的版本為Exim 4.87 到 4.91 版本,
當我們第一次(6月6日)報告Exim版本4.87到4.91中的該漏洞時,通過Shodan搜索顯示,Exim的易受攻擊版本在480多萬臺計算機上運行,其中大約58.8萬臺服務器已經安裝了最新的補丁(Exim 4.92 及 更新版本)。
截止發稿時,Shodan的搜索再次顯示,超過368萬臺服務器運行著易受攻擊的Exim版本,而修補過的設備數量已經增加到1765293臺。

每個國家/地區的易受攻擊的Exim服務器數量的分布圖
目前,幾乎70%的Exim郵件服務器目前運行的是版本4.92,這個版本不容易受到這些持續攻擊。
為了確保計算機不被此漏洞攻擊,所有其他Exim服務器管理員應立即將版本升級到4.92及 更新版本。

Exim更新時間表
托管在Tor網絡上的有效載荷
攻擊者在利用Exim漏洞后,通過使用Bash腳本上傳到“來自隱藏服務(an7kmd2wp4xo7hpr)的tor2web'路由'服務”,進而找到的所有易受攻擊的郵件服務器。
最初部署在受攻擊的Exim服務器上的腳本將下載另一個腳本,用于檢查受感染設備上是否安裝了OpenSSH。
之后,如果OpenSSH不存在,它將使用APT(高級軟件包工具)軟件包管理器以及其他幾個工具來安裝它,啟動后,使用私有/公共RSA密鑰通過SSH啟用root登錄以進行身份驗證。
通過這種方式,攻擊者可以獲得他們設法妥協的所有Exim服務器的root權限,對此Cybereason安全研究主管Amit Serper有個恰當地描述:
這意味著如果你的服務器被利用,攻擊者可以通過私鑰/公鑰身份驗證對你的服務器進行root訪問。
6月9日,研究員Freddie Leeman發現了一臺“偽裝”得不太好的服務器,黑客們從 173[.]212[.]214[.]137/s中刪除了用來利用易受攻擊的Exim服務器的腳本,這應該是全球發現的首例攻擊樣本。
正如前面描述的從Tor網絡服務器發起的攻擊一樣,這個腳本也將使用最初刪除的腳本下載第二個腳本,該腳本將多個二進制有效載荷變體部署到易受攻擊的設備上。
Leeman表示:
目前我已經檢測到了多個載荷的變種形式,他們也會更改腳本。截止發稿時,最新的版本可以直接下載二進制有效載荷并運行它,跳過收集系統數據的過程并進行傳播。
另外由于在某些非默認配置中,本地和遠程攻擊者很容易利用該漏洞,攻擊者將開始在野外攻擊中使用它。
研究者認為,遠程攻擊者可以輕松利用以下非默認Exim配置,遠程利用此漏洞:
1.如果管理員手動刪除了“verify = recipient”ACL(可能是為了防止通過RCPT TO進行用戶名枚舉),那么本地開發方法也可以遠程工作。
2.如果Exim配置為識別收件人地址的本地部分中的標簽(例如,通過“local_part_suffix = + *: – *”),則遠程攻擊者可以簡單地將我們的本地利用方法與RCPT TO“balrog + $ {重用”運行{…}} @ localhost“(其中”balrog“是本地用戶的名稱)。
3.如果Exim配置為將郵件中繼到遠程域,作為輔助MX(Mail eXchange),則遠程攻擊者可以簡單地重用我們的本地利用方法和RCPT TO“${run{…}}@khazad.dum” (其中“khazad.dum”是Exim的relay_to_domains之一)。實際上,“verify = recipient”ACL只能檢查遠程地址的域部分(@符號后面的部分),而不是本地部分。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视