數百萬Exim郵件伺服器正在遭受攻擊

據安全研究人員稱，目前還有數百萬的exim郵件傳輸**（mta）執行的是未公升級過的版本，所以這些郵件伺服器的攻擊面非常大，攻擊者可以很容易對這些老舊版本發起攻擊。自exim 4.90.1發布以來， exim更新版本已應用到linux發行版中，但網上那些未修復的系統仍是個問題。本次研究者發現，攻擊者在這些老舊版本的exim郵件伺服器中，通過ssh獲得對被攻擊裝置的永久root訪問許可權。

其實早在2023年3月，exim就因cve-2018-678漏洞，而影響了全球過半郵件伺服器。

本次攻擊者，攻擊者利用的這個漏洞為cve-2019-10149，並被qualys命名為"the return of the wizard" ，該漏洞產生於 exim 的 /src/deliver.c 檔案中，由於 deliver_message() 函式未對收件位址進行合理校驗，導致存在**執行風險，這使得攻擊者可以在暴露的伺服器上以root身份遠端執行任意命令。

其實，cve-2019-10149早在本月的6月6日就被曝出，受影響的版本為exim 4.87 到 4.91 版本，

當我們第一次（6月6日）報告exim版本4.87到4.91中的該漏洞時，通過shodan搜尋顯示，exim的易受攻擊版本在480多萬台計算機上執行，其中大約58.8萬台伺服器已經安裝了最新的補丁（exim 4.92 及更新版本）。

截止發稿時，shodan的搜尋再次顯示，超過368萬台伺服器執行著易受攻擊的exim版本，而修補過的裝置數量已經增加到1765293臺。

每個國家/地區的易受攻擊的exim伺服器數量的分布圖

目前，幾乎70％的exim郵件伺服器目前執行的是版本4.92，這個版本不容易受到這些持續攻擊。

為了確保計算機不被此漏洞攻擊，所有其他exim伺服器管理員應立即將版本公升級到4.92及更新版本。

exim更新時間表

託管在tor網路上的有效載荷

攻擊者在利用exim漏洞後，通過使用bash指令碼上傳到「來自隱藏服務（an7kmd2wp4xo7hpr）的tor2web'路由'服務」，進而找到的所有易受攻擊的郵件伺服器。

之後，如果openssh不存在，它將使用apt（高階軟體包工具）軟體包管理器以及其他幾個工具來安裝它，啟動後，使用私有/公共rsa金鑰通過ssh啟用root登入以進行身份驗證。

通過這種方式，攻擊者可以獲得他們設法妥協的所有exim伺服器的root許可權，對此cybereason安全研究主管amit serper有個恰當地描述：

這意味著如果你的伺服器被利用，攻擊者可以通過私鑰/公鑰身份驗證對你的伺服器進行root訪問。

6月9日，研究員freddie leeman發現了一台「偽裝」得不太好的伺服器，黑客們從 173[.]212[.]214[.]137/s中刪除了用來利用易受攻擊的exim伺服器的指令碼，這應該是全球發現的首例攻擊樣本。

leeman表示：

另外由於在某些非預設配置中，本地和遠端攻擊者很容易利用該漏洞，攻擊者將開始在野外攻擊中使用它。

研究者認為，遠端攻擊者可以輕鬆利用以下非預設exim配置，遠端利用此漏洞：奇熱看片

1.如果管理員手動刪除了「verify = recipient」acl（可能是為了防止通過rcpt to進行使用者名稱列舉），那麼本地開發方法也可以遠端工作。

2.如果exim配置為識別收件人位址的本地部分中的標籤（例如，通過「local_part_suffix = + *： – *」），則遠端攻擊者可以簡單地將我們的本地利用方法與rcpt to「balrog + $ } @ localhost「（其中」balrog「是本地使用者的名稱）。

3.如果exim配置為將郵件中繼到遠端域，作為輔助mx（mail exchange），則遠端攻擊者可以簡單地重用我們的本地利用方法和rcpt to「$}@khazad.dum」（其中「khazad.dum」是exim的relay_to_domains之一）。實際上，「verify = recipient」acl只能檢查遠端位址的域部分（@符號後面的部分），而不是本地部分。

數百萬Exim郵件伺服器正在遭受攻擊

百萬併發伺服器

郵件伺服器

郵件伺服器

相關推薦