Exim SMTP Mail Server漏洞预警
1.安全公告
2019年6月5日,Exim发布了一个安全漏洞公告,对应CVE编号:CVE-2019-10149,相关信息链接:
https://www.exim.org/static/doc/security/CVE-2019-10149.txt
根据公告,该漏洞存在于Exim 4.87到4.91版本中,邮件发送者可以通过构造"${run{...}}@localhost"触发漏洞,成功利用漏洞可能实现本地提权和远程命令执行效果,Exim在2019年2月10日发布的4.92版本中修复了该漏洞,不过当时并没有说明是安全漏洞,2019年5月27日有安全研究人员向Exim报告了该安全漏洞,并公开了部分漏洞利用细节:
https://seclists.org/oss-sec/2019/q2/152
2.影响版本
CVE-2019-10149漏洞:影响4.87到4.91的版本,官方推荐更新到4.92版本,目前网上已经公开了部分漏洞细节,建议及时更新到漏洞修复后版本,下载地址:
https://www.exim.org/mirmon/ftp_mirrors.html
3.影响范围
通过安恒研究院SUMAP平台对全球部署了exim 邮件服务器进行统计,最新查询分布情况如下:
通过安恒研究院SUMAP平台对全国部署的exim 邮件服务器进行统计,最新查询分布情况如下:
4.缓解措施
高危:目前漏洞细节已经部分公开,建议及时升级到无漏洞新版本或使用安全防护设备拦截恶意攻击包。
威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序达到蠕虫传播,从而影响到系统服务的正常提供。