Exim漏洞导致数百万服务器被接管

LYA 看雪学院 2021-03-13

服务器的一个小小漏洞就会影响巨大。

更何况是关键漏洞。

吸引的攻击者只会更多。

Exim服务器发现关键漏洞

近日，在Exim服务器中发现一个关键漏洞，它可以使未经身份验证的远程攻击者能够以root权限执行任意代码，并完全控制服务器。

Exim是在类Unix操作系统（包括Linux或macOS）上使用的免费软件，是全球最常用的邮件传输代理，拥有超过500万个面向互联网的主机。

这个漏洞存在于所有版本的Exim服务器（包括4.92.1）中，即CVE-2019-15846。在CVSS评分中该漏洞得分9.8，可见其严重程度。

该漏洞是Exim服务器在TLS握手协议处理特定数据时产生的问题。

TLS握手协议会启动TLS加密的通信会话，为互联网通信提供安全并保障数据的完整性。在握手期间，客户端和服务器双方会生成服务密钥来创建安全连接，以防止客户端和服务器之间的通信被窃听和篡改。

当特定数据涉及SNI（服务器名称指示）时，该协议会使客户端尝试连接主机名。在初始TLS握手期间，远程攻击者可以发送恶意创建的SNI，那么用于电子邮件传输的SMTP协议则容易导致缓存溢出，这将允许攻击者在系统上远程执行代码。

影响及解决办法

任何有一定技能的人都可以使用公开信息制作一个漏洞利用脚本，这使得这次攻击范围很大，目前有350万台服务器受到攻击威胁。

攻击者可以捕获Exim服务器处理的所有邮件。而这些邮件中通常会包含一些敏感信息，例如IP和密码。

此外，由于大多数企业都需要启用TLS来处理互联网流量。因此，使用GnuTLS和OpenSSL (TLS协议的流行软件)的企业也都会受到影响。

这次的Exim漏洞引发了人们对远程命令执行的担忧，对此强烈建议Exim用户尽快升级到新版本4.92.2。另外虽然禁用TLS可以缓解漏洞，但强烈建议不要这样做。

*本文由看雪编辑 LYA 编译自 Threatpost，转载请注明来源及作者。