您所在的位置: 首頁 >
安全研究 >
安全通告 >
Exim Mail Server 5月多個(gè)安全漏洞
0x00 漏洞概述
Exim是由劍橋大學(xué)開發(fā)的消息傳輸代理(MTA),主要被構(gòu)建在類Unix操作系統(tǒng)上發(fā)送和接收電子郵件。比如,它已預(yù)裝在Linux發(fā)行版(如Debian)上。Exim可以處理大量互聯(lián)網(wǎng)流量,其使用非常廣泛。
2021年05月04日,Qualys公開披露了Exim郵件服務(wù)器中的21個(gè)安全漏洞,攻擊者可以通過組合利用這些漏洞進(jìn)行未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行(RCE),獲得root用戶權(quán)限和蠕蟲式橫向移動(dòng)。
0x01 漏洞詳情
MTA是攻擊者感興趣的目標(biāo),因?yàn)樗鼈兺ǔ?梢酝ㄟ^Internet訪問,一旦被利用,攻擊者就可以修改郵件服務(wù)器上的電子郵件設(shè)置,并在目標(biāo)郵件服務(wù)器上創(chuàng)建新帳戶。去年,Exim中的漏洞曾成為APT的目標(biāo)。根據(jù)Shodan的搜索,目前大約有400萬臺(tái)Exim服務(wù)器直接暴露在互聯(lián)網(wǎng)上。
在本次公開的21個(gè)漏洞中,其中10個(gè)可以被遠(yuǎn)程利用。雖然Qualys并未發(fā)布任何完整的漏洞Poc,但其中大多數(shù)都可以在默認(rèn)配置或常見配置中被利用,這些漏洞會(huì)影響Exim于2004年之后開發(fā)的所有版本,攻擊者可以通過組合利用這些漏洞獲得初始訪問權(quán)限、造成蠕蟲利用、權(quán)限提升、安裝程序、修改數(shù)據(jù)并創(chuàng)建新賬戶。
21 Nails Exim中,10個(gè)可遠(yuǎn)程利用的漏洞為:
CVE-2020-28017:receive_add_recipient()中的整數(shù)溢出
CVE-2020-28020:receive_msg()中的整數(shù)溢出
CVE-2020-28023:在smtp_setup_msg()中讀取越界
CVE-2020-28021:在spool頭文件中注入新行
CVE-2020-28022:extract_option()中堆越界讀取和寫入
CVE-2020-28026:spool_read_header()中的行截?cái)嗪妥⑷?/span>
CVE-2020-28019:BDAT錯(cuò)誤后無法重置函數(shù)指針
CVE-2020-28024:smtp_ungetc()中的堆緩沖區(qū)下溢
CVE-2020-28018:在tls-openssl.c中Use-after-free
CVE-2020-28025:在pdkim_finish_bodyhash()中堆越界讀取
21 Nails Exim中,11個(gè)本地利用的漏洞為:
CVE-2020-28007:Exim日志目錄中的鏈接攻擊
CVE-2020-28008:Exim的spool目錄中的各種攻擊
CVE-2020-28014:任意文件創(chuàng)建和口令攻擊
CVE-2021-27216:刪除任意文件
CVE-2020-28011:queue_run()中的堆緩沖區(qū)溢出
CVE-2020-28010:main()中的堆越界寫操作
CVE-2020-28013:parse_fix_phrase()中的堆緩沖區(qū)溢出
CVE-2020-28016:parse_fix_phrase()中的堆越界寫入
CVE-2020-28015:在spool頭文件中注入新行
CVE-2020-28012:特權(quán)管道缺少執(zhí)行時(shí)關(guān)閉的標(biāo)志
CVE-2020-28009:get_stdinput()中的整數(shù)溢出
在這些漏洞中,CVE-2020-28018是最嚴(yán)重的漏洞之一,如果Exim服務(wù)器是用OpenSSL構(gòu)建的;如果STARTTLS和PIPELINING(默認(rèn))被啟用;如果X_PIPE_CONNECT被禁用(Exim 4.94之前的默認(rèn)設(shè)置),它就可以被利用。另一個(gè)值得注意的漏洞是CVE-2020-28020,它是一個(gè)整數(shù)溢出漏洞,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用它以“exim ”用戶身份執(zhí)行任意命令并窺探數(shù)據(jù),它存在于receive_msg()函數(shù)中,并且功能強(qiáng)大,但也是21個(gè)漏洞中最難利用的。而當(dāng)CVE-2020-28021與其它漏洞組合利用時(shí),經(jīng)過驗(yàn)證的遠(yuǎn)程攻擊者可以在spool頭文件中注入新行,并以root身份執(zhí)行任意命令。
影響范圍
2004年之后開發(fā)的所有版本
0x02 處置建議
Qualys的研究人員和Exim官方均發(fā)布了相關(guān)補(bǔ)丁。至于各種Linux發(fā)行版,最廣泛使用的(CentOS、RHEL和SuSE),已經(jīng)推出了修復(fù)程序。Debian在 “oldstable”(代號(hào)Stretch)、“stable”(Buster)或“Still-in-development”(Sid)版本中不存在這些漏洞,而“unstable”(Bullseye)版本則存在漏洞,且目前尚未修復(fù)。
相關(guān)漏洞的修復(fù)方法或補(bǔ)丁建議參考Qualys發(fā)布的安全咨詢:
https://www.qualys.com/2021/05/04/21nails/21nails.txt
0x03 參考鏈接
https://www.qualys.com/2021/05/04/21nails/21nails.txt
https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/
http://www.exim.org/
0x04 時(shí)間線
2021-05-04 Qualys公開披露漏洞
2021-05-07 VSRC發(fā)布安全通告
0x05 附錄
CVSS評(píng)分標(biāo)準(zhǔn)官網(wǎng):http://www.first.org/cvss/
來源:維他命安全