Skoči na vsebino

SI-CERT 2019-04 / Izkoriščanje ranljivosti Exim poštnega strežnika (CVE-2019-10149)

CVE oznaka: CVE-2019-10149
Prva objava: 17. junij 2019

Povzetek

Ranljivost v sistemu za posredovanje e-sporočil (MTA) Exim omogoča izvajanje ukazov z povišanimi (root) pravicami na daljavo (remote command execution – RCE). Ranljivost je prisotna v vseh različicah Exim MTA od 4.87 do 4.91. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico Exim 4.92.

Ker je Exim del paketa cPanel svetujemo tudi namestitev ustreznih popravkov, ki so že na voljo. Popravki so izdani za cPanel različice 70 in 76.

Opis

Ranljivost je posledica nepravilne validacije naslova prejemnika v funkciji delivery_message na Exim strežniku. Ranljivost med drugim omogoča prevzem nadzora nad ranljivimi strežniki.

Posnetek kode, ki prikazuje, da se ranljivost nahaja v funkciji funkciji delivery_message ()
Ranljivost se nahaja v funkciji funkciji delivery_message ()

Ker expand_string() prepozna “${run{<ukaz> <args>}}” kot element razširitve, lahko napadalec pošlje el. sporočilo na naslov “${run{ukaz}}@domena_exim_strežnika” in na ta način izvrši poljubne ukaze z root pravicami (deliver_drop_privilege je privzeto FALSE).

Po naših podatkih se ranljivost že aktivno izkorišča. Zabeleženi primeri zlorabe pa se kažejo predvsem v nameščanju kode za rudarjenje kripto valut in ustvarjanju stranskih vrat.
Nameščena stranska vrata napadalcu omogočajo dostop do strežnika tudi v primeru posodobitve Exim MTA.

Ukrepi

  • Takojšnja posodobitev Exim MTA različic 4.87 do 4.91 na zadnjo izdano različico 4.92 (https://www.exim.org/).
  • Preveriti ali so na strežniku nameščena stranska vrata ali dodani SSH ključi.
  • Takojšnja posodobitev strežniške programske opreme cPanel.

Preberite tudi

SI-CERT 2022-03 / Več ranljivosti v produktih podjetja Siemens

Siemens je eden vodilnih proizvajalcev sistemske avtomatizacije v proizvodnji. Objavili so vrsto varnostnih obvestil, med njimi tudi za kritične ranljivosti.
Več

SI-CERT 2022-02 / MSDT Ranljivost (Microsoft Support Diagnostic Tool)

Sistemi Microsoft Windows vsebujejo ranljivost z oznako CVE-2022-30190, ki v določenih primerih napadalcem omogoča izvedbo poljubne kode. V času objave tega obvestila uradni popravki ranljivosti še niso na voljo, sama ranljivost pa se že izkorišča v napadih (t.i. 0-day ranljivost).
Več

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Organizacijam in posameznikom podajamo osnovne napotke za zaščito.
Več