21Nails: в почтовом сервере Exim обнаружили комплекс уязвимостей
Первого мая текущего года IT-компания E-Soft сформировала статистику использования различных почтовых серверов, опубликованных в сети Интернет. Оказалось, что порядка 60% из них работают на базе MTA (Mail Transfer Agent) Exim, что делает этот тип почтового сервера самым востребованным в настоящее время.
Группа исследователей из Qualys решила проверить насколько безопасно его использование и в результате тщательного аудита кода обнаружила 21 уязвимость под общим названием « 21Nails», 10 из которых возможно использовать удаленно. Некоторые из них могут быть объединены для удаленного выполнения кода в обход аутентификации и получения привилегий root на сервере Exim, что позволяет удаленному злоумышленнику выполнять команды для установки программ, создавать новые учетные записи, изменять настройки безопасности на почтовых серверах и многое другое.
Например, ошибка безопасности CVE-2020-28018 позволяет эксплуатировать «use-after-free» уязвимость, возникающую из-за ошибки использования динамической памяти в функции TLS-шифрования на серверах, использующих OpenSSL. Уязвимость CVE-2020-28020, позволяет удаленному злоумышленнику, не прошедшему аутентификацию, использовать целочисленное переполнение чтобы выполнять произвольные команды в качестве пользователя «exim». А CVE-2020-28021 хоть и требует предварительной аутентификации клиента SMTP, но позволяет удалённо выполнить код с правами root, добившись подстановки новых строк в заголовок спул-файла (файла, отвечающего за формирование очереди сообщений).
Ниже приведен перечень всех обнаруженных уязвимостей.
CVE ID |
Описание |
Тип |
CVE-2020-28007 |
Атака через символическую ссылку в каталоге с логом Exim |
Локальная |
CVE-2020-28008 |
Атаки на каталог со спулом (/var/spool/exim4/input) |
Локальная |
CVE-2020-28009 |
Целочисленное переполнение в функции get_stdinput () |
Локальная |
CVE-2020-28010 |
Запись за границу буфера в функции в main () |
Локальная |
CVE-2020-28011 |
Переполнение буфера в функции queue_run() |
Локальная |
CVE-2020-28012 |
Отсутствие флага close-on-exec для привилегированного неименованного канала |
Локальная |
CVE-2020-28013 |
Переполнение буфера в функции parse_fix_phrase() |
Локальная |
CVE-2020-28014 |
Создание произвольного файла |
Локальная |
CVE-2020-28015 |
Подстановка новой строки в заголовок спул-файла |
Локальная |
CVE-2020-28016 |
Запись за границу буфера в функции parse_fix_phrase() |
Локальная |
CVE-2020-28017 |
Целочисленное переполнение в функции receive_add_recipient() |
Удаленная |
CVE-2020-28018 |
Обращение к буферу после его освобождения (use-after-free) в tls-openssl.c |
Удаленная |
CVE-2020-28019 |
Сбой при сбросе указателя на функцию после возникновения ошибки BDAT |
Удаленная |
CVE-2020-28020 |
Целочисленное переполнение в функции receive_msg() |
Удаленная |
CVE-2020-28021 |
Подстановка новой строки в заголовок спул-файла |
Удаленная |
CVE-2020-28022 |
Чтение и запись за пределами буфера в функции extract_option () |
Удаленная |
CVE-2020-28023 |
Чтение за пределами буфера в функции smtp_setup_msg () |
Удаленная |
CVE-2020-28024 |
Переполнение через нижнюю границу буфера в функции smtp_ungetc() |
Удаленная |
CVE-2020-28025 |
Чтение из области вне выделенного буфера в функции pdkim_finish_bodyhash() |
Удаленная |
CVE-2020-28026 |
Усечение и подстановка строки в функции spool_read_header() |
Удаленная |
CVE-2021-27216 |
Удаление произвольного файла |
Локальная |
Большинство уязвимостей, обнаруженных исследовательской группой, затрагивает все версии Exim начиная с 2004 года. К счастью, в обновленной версии 4.94.2 почтового сервера все найденные бреши устранены, поэтому администраторам настоятельно рекомендуется установить срочный патч.
«Часто почтовые серверы Exim становятся ключевой целью для злоумышленников по двум причинам: первая – высокий уровень популярности среди других MTA, используемых для общего доступа (то есть доступных в сети Интернет); вторая – повышенное внимание со стороны хакеров к сервису электронной почты в целом с точки зрения вектора атаки и отправной точки при компрометации сети жертвы, – комментирует директор Инженерного центра Angara Professional Assistance Тимур Кузнецов. – Мы рекомендуем использовать комплексный подход для организации защиты от угроз, возникающих при эксплуатации почтовых сервисов. Контроль содержимого почтового трафика в совокупности с повышением осведомленности конечных пользователей в вопросах безопасной обработки входящей корреспонденции в разы уменьшает шансы на успешную атаку для злоумышленника».
Услуга ACR SERVICE ANTIAPT, входящая в пакет услуг нашей компанией, позволяет не только проверять почтовый трафик на предмет вредоносного содержимого (ссылки, вложения), но и анализировать Интернет-трафик через прокси-сервер организации, обеспечивая дополнительный контроль при переходе пользователей по ссылкам из электронных писем. В дополнение к ней Angara Professional Assistance предлагает услугу Антифишинг, которая позволяет повысить уровень информационной безопасности компании за счет обучения работников цифровой грамотности, в том числе в вопросах обработки электронных писем.
Ознакомиться с дополнительной информацией об услугах можно на нашем сайте в разделе «MSS», блоки «ACR SERVICES EDR и ANTIAPT» и «АНТИФИШИНГ», а также у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.