Skoči na vsebino

SI-CERT 2019-04 / Izkoriščanje ranljivosti Exim poštnega strežnika (CVE-2019-10149)

CVE oznaka: CVE-2019-10149
Prva objava: 17. junij 2019

Povzetek

Ranljivost v sistemu za posredovanje e-sporočil (MTA) Exim omogoča izvajanje ukazov z povišanimi (root) pravicami na daljavo (remote command execution – RCE). Ranljivost je prisotna v vseh različicah Exim MTA od 4.87 do 4.91. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico Exim 4.92.

Ker je Exim del paketa cPanel svetujemo tudi namestitev ustreznih popravkov, ki so že na voljo. Popravki so izdani za cPanel različice 70 in 76.

Opis

Ranljivost je posledica nepravilne validacije naslova prejemnika v funkciji delivery_message na Exim strežniku. Ranljivost med drugim omogoča prevzem nadzora nad ranljivimi strežniki.

Posnetek kode, ki prikazuje, da se ranljivost nahaja v funkciji funkciji delivery_message ()
Ranljivost se nahaja v funkciji funkciji delivery_message ()

Ker expand_string() prepozna “${run{<ukaz> <args>}}” kot element razširitve, lahko napadalec pošlje el. sporočilo na naslov “${run{ukaz}}@domena_exim_strežnika” in na ta način izvrši poljubne ukaze z root pravicami (deliver_drop_privilege je privzeto FALSE).

Po naših podatkih se ranljivost že aktivno izkorišča. Zabeleženi primeri zlorabe pa se kažejo predvsem v nameščanju kode za rudarjenje kripto valut in ustvarjanju stranskih vrat.
Nameščena stranska vrata napadalcu omogočajo dostop do strežnika tudi v primeru posodobitve Exim MTA.

Ukrepi

  • Takojšnja posodobitev Exim MTA različic 4.87 do 4.91 na zadnjo izdano različico 4.92 (https://www.exim.org/).
  • Preveriti ali so na strežniku nameščena stranska vrata ali dodani SSH ključi.
  • Takojšnja posodobitev strežniške programske opreme cPanel.

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več