Lỗ hổng RCE mới ảnh hướng tới gần một nữa email server trên internet

Lỗ hổng RCE mới ảnh hướng tới gần một nữa email server trên internet

June 6, 2019 | vietsunshine

Lỗ hổng Exim cho phép kẻ tấn công chạy các lệnh dưới quyền root trên các máy chủ email từ xa.

Một lỗ hổng bảo mật thực thi lệnh từ xa (RCE) quan trọng ảnh hưởng đến một nửa số máy chủ email của Internet, các nhà nghiên cứu bảo mật từ Qualys đã tiết lộ ngày hôm nay.

Lỗ hổng ảnh hưởng đến Exim, một mail transfer agent, đây là phần mềm chạy trên các máy chủ email để chuyển tiếp email từ người gửi đến người nhận.

Theo khảo sát tháng 6 năm 2019 về tất cả các máy chủ thư hiển thị trên Internet, 57% (507.389) của tất cả các máy chủ email chạy Exim – mặc dù các báo cáo khác nhau sẽ đưa số lượng cài đặt Exim lên gấp mười lần số đó, ở mức 5,4 triệu.

Exim thực thi lệnh từ xa

Trong một cảnh báo bảo mật được chia sẻ với ZDNet vào hôm nay, Qualys, một công ty bảo mật mạng chuyên về bảo mật và tuân thủ đám mây, cho biết họ đã tìm thấy một lỗ hổng rất nguy hiểm trong các cài đặt Exim chạy các phiên bản 4.87 đến 4.91.

Lỗ hổng được mô tả là thực thi lệnh từ xa cho phép kẻ tấn công cục bộ hoặc từ xa chạy các lệnh trên máy chủ Exim như root. Qualys cho biết lỗ hổng này có thể bị khai thác ngay lập tức bởi một kẻ tấn công cục bộ có sự hiện diện trên máy chủ email, ngay cả với tài khoản đặc quyền thấp.

Nhưng mối nguy hiểm thực sự đến từ các tin tặc từ xa khai thác lỗ hổng, những kẻ có thể quét internet để tìm các máy chủ dễ bị tấn công và chiếm quyền hệ thống.

“Để khai thác từ xa lỗ hổng này trong cấu hình mặc định, kẻ tấn công phải giữ kết nối với máy chủ dễ bị tổn thương mở trong 7 ngày (bằng cách truyền một byte mỗi vài phút)”, các nhà nghiên cứu cho biết.

“Tuy nhiên, do độ phức tạp cực cao của mã Exim, chúng tôi không thể đảm bảo rằng phương thức khai thác này là duy nhất; phương thức nhanh hơn có thể tồn tại.”

Hơn nữa, nhóm Qualys nói rằng khi Exim ở một số cấu hình không mặc định nhất định, việc khai thác tức thời cũng có thể xảy ra trong các tình huống từ xa.

Lỗ hổng được vá … một cách tình cờ

Lỗ hổng đã được vá bằng việc phát hành Exim 4.92, vào ngày 10 tháng 2 năm 2019, nhưng tại thời điểm nhóm Exim phát hành v4.92, họ không biết rằng họ đã sửa một lỗ hổng bảo mật lớn.

Điều này chỉ được phát hiện gần đây bởi nhóm Qualys khi kiểm tra các phiên bản Exim cũ hơn. Giờ đây, các nhà nghiên cứu của Qualys đang cảnh báo người dùng Exim cập nhật lên phiên bản 4.92 để tránh việc máy chủ của họ bị tấn công.

Trong một email gửi tới các nhà bảo trì phân phối Linux, Qualys nói rằng lỗ hổng này là “trivially exploitable” và hy vọng những kẻ tấn công sẽ đưa ra mã khai thác trong những ngày tới.

Lỗ hổng Exim này hiện đang được theo dõi theo định danh CVE-2019-10149, nhưng Qualys đề cập đến nó dưới tên “Return of the WIZard” vì lỗ hổng này giống với lỗ hổng WIZDEBUG cổ xưa đã ảnh hưởng đến máy chủ email Sendmail trong những năm 90 .

Nguồn: New RCE vulnerability impacts nearly half of the internet’s email servers

Hacker đang tích cực khai thác lỗ hổng Drupal RCE mới được công bố

Tags: , ,