ΑρχικήsecurityΕκατομμύρια Exim servers δίνουν root πρόσβαση στους hackers. Πως;

Εκατομμύρια Exim servers δίνουν root πρόσβαση στους hackers. Πως;

Εκατομμύρια Exim servers είναι ευάλωτοι σε ένα σφάλμα ασφαλείας το οποίο μπορεί να δώσει στους επιτιθέμενους τη δυνατότητα να εκτελούν κακόβουλο κώδικα με προνόμια root.

Όλοι οι διακομιστές Exim που εκτελούν έκδοση 4.92.1 και πριν είναι ευάλωτοι, ανέφερε η ομάδα του Exim. Η έκδοση 4.92.2 κυκλοφόρησε την Παρασκευή, 6 Σεπτεμβρίου, για να αντιμετωπίσει το πρόβλημα.

 Exim servers

Το πρόβλημα μπορεί να μην φαίνεται σημαντικό για πολλούς, αλλά το Exim είναι σήμερα ένα από τα πιο διαδεδομένα λογισμικά. Το Exim είναι ένα mail transfer agent (MTA), δηλαδή ένα λογισμικό που εκτελείται στο παρασκήνιο των διακομιστών ηλεκτρονικού ταχυδρομείου. Ενώ οι διακομιστές ηλεκτρονικού ταχυδρομείου συχνά στέλνουν ή λαμβάνουν μηνύματα, λειτουργούν επίσης ως “αναμεταδότης” για τα ηλεκτρονικά ταχυδρομεία άλλων ανθρώπων. Αυτή, ουσιαστικά, είναι η δουλειά του MTA.

Το Exim είναι το πλέον διαδεδομένο MTA σήμερα, με μερίδιο αγοράς άνω του 57%, σύμφωνα με έρευνα του Ιουνίου 2019. Η επιτυχία του μπορεί να αποδοθεί στο γεγονός ότι έχει συνδυαστεί με ένα πλήθος διανομών Linux, από το Debian έως το Red Hat.

 Exim servers

Η ευπάθεια

Εάν ο διακομιστής Exim έχει ρυθμιστεί ώστε να δέχεται εισερχόμενες συνδέσεις TLS, ένας hacker μπορεί να στείλει ένα κακόβουλο backslash-null sequence συνδεδεμένο με το τέλος ενός πακέτου SNI και να εκτελέσει κακόβουλο κώδικα με προνόμια root.

Το ζήτημα αναφέρθηκε στις αρχές Ιουλίου από έναν ερευνητή ασφαλείας που ονομάζεται Zerons και έχει διορθωθεί με απόλυτη μυστικότητα από την ομάδα Exim.

Το απόρρητο ήταν δικαιολογημένο εξαιτίας του πόσο εύκολα μπορεί να γίνει exploit η ευπάθεια, της root πρόσβασης και λόγω του μεγάλου αριθμού ευάλωτων εξυπηρετητών.

Έγκυρες πηγές κάνουν λόγο για πάνω από 5,2 εκατομμύρια Exim servers που εκτελούν έκδοση 4.92.1 και νεότερη (δηλαδή οι ευάλωτες εκδόσεις).

root

Οι ιδιοκτήτες των διακομιστών μπορούν να μετριάσουν αυτή την ευπάθεια – καταχωρημένη ως CVE-2019-15846 – απενεργοποιώντας την υποστήριξη TLS για τον διακομιστή Exim. Ωστόσο, αυτό δεν μπορεί να αποτελέσει μόνιμη και 100% ασφαλή λύση, καθώς εκθέτει το email traffic σε cleartext και το καθιστά ευάλωτο σε sniffing attacks και παρακολούθηση.

Αυτός ο μετριασμός δεν συνιστάται για τους ιδιοκτήτες Exim που ζουν στην ΕΕ, καθώς μπορεί να εκθέσει τις εταιρείες τους σε διαρροές δεδομένων και τσουχτερά πρόστιμα για το GDPR.

root

Αξίζει βέβαια να σημειώσουμε ότι από προεπιλογή, οι εγκαταστάσεις Exim δεν διαθέτουν προεπιλεγμένη υποστήριξη TLS. Παρ ‘όλα αυτά, υπάρχουν Exim που περιλαμβάνονται στο Linux distros και προσφέρουν το TLS ενεργοποιημένο από προεπιλογή. Δεδομένου ότι οι περισσότεροι διαχειριστές διακομιστών χρησιμοποιούν OS images και λίγοι εκτελούν τη διαδικασία λήψης του Exim με μη αυτόματο τρόπο, οι περισσότερες περιπτώσεις Exim είναι πιθανότατα ευάλωτες.

Επιπλέον, οι Exim servers με cPanel, ένα δημοφιλές λογισμικό φιλοξενίας ιστοσελίδων, υποστηρίζουν επίσης TLS από προεπιλογή. Τα καλά νέα είναι ότι οι δημιουργοί του cPanel ενσωμάτωσαν άμεσα το Exim patch σε μια ενημερωμένη έκδοση του cPanel.

Οι ειδικοί ασφαλείας προειδοποιούν ότι το ελάττωμα ασφάλειας του Exim θα γίνει άμεσα exploit.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS