Специалисты по информационной безопасности компании Qualys в 6 месяце 2019 года смогли обнаружить на почте Exim большие сложности CVE-2019-10149, которые дают возможность преступникам запускать на отдаленных серверах посторонние команды, поступающие от root. В полученном сообщении указано овероятно удаленном эксплоите. Активное его использование пока не обнаружено.
Мнение исследователей
По мнению специалистов, опасность подстерегает многие почтовые сервера. Это связано с тем, что 57 % ихиспользуют Exim. Другой источник информации предполагает, что число установок Exim значительнобольше.
Патч имеется, тестируется, а затем возвращается ко всем обратно.
Проблема описывается, как выполнение отдаленных команд, которые имеют высокую вероятность угрозы,практически не уступающей отдаленной реализации случайного кода. По месту или отдаленно Баг в Eximвыполняет на сервере любую команду, пользуясь правами root.
Серьезность проблем зависит от конфигурации, как близка стандартная конфигурация к Exim. Чем онаближе, тем лучше.
При действии частной атаки для мгновенного ее исполнения ему достаточно аккаунта даже с очень малымипреимуществами. Сложнее, если это удаленные атаки.
По словам исследователей, для удаленного использования подобной беззащитности на комбинацию по умолчанию, преступнику требуется выполнять поддержку соединения с незащищенным сервером, который остается открытым одну неделю, передавая при этом через определенное количество минут байт информации. Но из-за очень сложного кода Exim они не дают гарантии, что это редкостный способиспользования возникшей ситуации. Возможно существуют и некоторые способы попроще.
Устранение уязвимости
10.02.2019 года беззащитность с релизом Exim 4.92 была устранена. Но в этом случае разработчики Exim и не могли подозревать, что они занимаются исправлением очень большой ранимости своего кода. Баг был исправлен совершенно случайно, а уже позднее эксперты Qualys смогли выявить проблему при аудите прошлых версий Exim. Сейчас специалисты Exim извещают своих пользователей, чтобы они быстро обновили его до новой версии 4.92. Но к сожалению, по вышеупомянутой статистике, новейшую версию агента на сегодняшний день используют лишь 4,34 % серверов Exim.
Знатоки Qualys утверждают, что использовать ими обнаруженную беззащитность сервера очень просто и прогнозируют, что преступники смогут разработать эксплоит очень скоро.
