Angara Professional Assistance | 21Nails: в почтовом сервере Exim обнаружили комплекс уязвимостей

21Nails: в почтовом сервере Exim обнаружили комплекс уязвимостей

Первого мая текущего года IT-компания E-Soft сформировала статистику использования различных почтовых серверов, опубликованных в сети Интернет. Оказалось, что порядка 60% из них работают на базе MTA (Mail Transfer Agent) Exim, что делает этот тип почтового сервера самым востребованным в настоящее время.

Группа исследователей из Qualys решила проверить насколько безопасно его использование и в результате тщательного  аудита кода обнаружила 21 уязвимость под общим названием « 21Nails», 10 из которых возможно использовать удаленно. Некоторые из них могут быть объединены для удаленного выполнения кода в обход аутентификации и получения привилегий root на сервере Exim, что позволяет удаленному злоумышленнику выполнять команды для установки программ, создавать новые учетные записи, изменять настройки безопасности на почтовых серверах и многое другое.

Например, ошибка безопасности CVE-2020-28018 позволяет эксплуатировать «use-after-free» уязвимость, возникающую из-за ошибки использования динамической памяти в функции TLS-шифрования на серверах, использующих OpenSSL. Уязвимость CVE-2020-28020, позволяет удаленному злоумышленнику, не прошедшему аутентификацию, использовать целочисленное переполнение чтобы выполнять произвольные команды в качестве пользователя «exim». А CVE-2020-28021 хоть и требует предварительной аутентификации клиента SMTP, но позволяет удалённо выполнить код с правами root, добившись подстановки новых строк в заголовок спул-файла (файла, отвечающего за формирование очереди сообщений). 

Ниже приведен перечень всех обнаруженных уязвимостей.

CVE ID

Описание

Тип

CVE-2020-28007

Атака через символическую ссылку в каталоге с логом Exim

Локальная

CVE-2020-28008

Атаки на каталог со спулом (/var/spool/exim4/input)

Локальная

CVE-2020-28009

Целочисленное переполнение в функции get_stdinput ()

Локальная

CVE-2020-28010

Запись за границу буфера в функции в main ()

Локальная

CVE-2020-28011

Переполнение буфера в функции queue_run()

Локальная

CVE-2020-28012

Отсутствие флага close-on-exec для привилегированного неименованного канала

Локальная

CVE-2020-28013

Переполнение буфера в функции parse_fix_phrase()

Локальная

CVE-2020-28014

Создание произвольного файла

Локальная

CVE-2020-28015

Подстановка новой строки в заголовок спул-файла

Локальная

CVE-2020-28016

Запись за границу буфера в функции parse_fix_phrase()

Локальная

CVE-2020-28017

Целочисленное переполнение в функции receive_add_recipient()

Удаленная

CVE-2020-28018

Обращение к буферу после его освобождения (use-after-free) в tls-openssl.c

Удаленная

CVE-2020-28019

Сбой при сбросе указателя на функцию после возникновения ошибки BDAT

Удаленная

CVE-2020-28020

Целочисленное переполнение в функции receive_msg()

Удаленная

CVE-2020-28021

Подстановка новой строки в заголовок спул-файла

Удаленная

CVE-2020-28022

Чтение и запись за пределами буфера в функции extract_option ()

Удаленная

CVE-2020-28023

Чтение за пределами буфера в функции smtp_setup_msg ()

Удаленная

CVE-2020-28024

Переполнение через нижнюю границу буфера в функции smtp_ungetc()

Удаленная

CVE-2020-28025

Чтение из области вне выделенного буфера в функции pdkim_finish_bodyhash()

Удаленная

CVE-2020-28026

Усечение и подстановка строки в функции spool_read_header()

Удаленная

CVE-2021-27216

Удаление произвольного файла

Локальная


Большинство уязвимостей, обнаруженных исследовательской группой, затрагивает все версии Exim начиная с 2004 года. К счастью, в  обновленной версии 4.94.2 почтового сервера все найденные бреши устранены, поэтому администраторам настоятельно рекомендуется установить срочный патч.

«Часто почтовые серверы Exim становятся ключевой целью для злоумышленников по двум причинам: первая – высокий уровень популярности среди других MTA, используемых для общего доступа (то есть доступных в сети Интернет); вторая – повышенное внимание со стороны хакеров к сервису электронной почты в целом с точки зрения вектора атаки и отправной точки при компрометации сети жертвы, – комментирует директор Инженерного центра Angara Professional Assistance Тимур Кузнецов.  – Мы рекомендуем использовать комплексный подход для организации защиты от угроз, возникающих при эксплуатации почтовых сервисов. Контроль содержимого почтового трафика в совокупности с повышением осведомленности конечных пользователей в вопросах безопасной обработки входящей корреспонденции в разы уменьшает шансы на успешную атаку для злоумышленника».

Услуга ACR SERVICE ANTIAPT, входящая в пакет услуг нашей компанией, позволяет не только проверять почтовый трафик на предмет вредоносного содержимого (ссылки, вложения), но и анализировать Интернет-трафик через прокси-сервер организации, обеспечивая дополнительный контроль при переходе пользователей по ссылкам из электронных писем. В дополнение к ней Angara Professional Assistance предлагает услугу Антифишинг, которая позволяет повысить уровень информационной безопасности компании за счет обучения работников цифровой грамотности, в том числе в вопросах обработки электронных писем.

Ознакомиться с дополнительной информацией об услугах можно на нашем сайте в разделе «MSS», блоки «ACR SERVICES EDR и ANTIAPT» и «АНТИФИШИНГ», а также у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.