首頁 > 安全研究 > 安全通報 > 安全通告

Exim Mail Server 5月多個安全漏洞

發布時間 2021-05-07

0x00 漏洞概述

Exim是由劍橋大學開發的消息傳輸代理(MTA),主要被構建在類Unix操作系統上發送和接收電子郵件。比如,它已預裝在Linux發行版(如Debian)上。Exim可以處理大量互聯網流量,其使用非常廣泛。

2021年05月04日,Qualys公開披露了Exim郵件服務器中的21個安全漏洞,攻擊者可以通過組合利用這些漏洞進行未經身份驗證的遠程代碼執行(RCE),獲得root用戶權限和蠕蟲式橫向移動。

 

0x01 漏洞詳情

image.png

MTA是攻擊者感興趣的目標,因為它們通??梢酝ㄟ^Internet訪問,一旦被利用,攻擊者就可以修改郵件服務器上的電子郵件設置,并在目標郵件服務器上創建新帳戶。去年,Exim中的漏洞曾成為APT的目標。根據Shodan的搜索,目前大約有400萬臺Exim服務器直接暴露在互聯網上。

在本次公開的21個漏洞中,其中10個可以被遠程利用。雖然Qualys未發布任何完整的漏洞Poc,但其中大多數都可以在默認配置或常見配置中被利用,這些漏洞會影響Exim于2004年之后開發的所有版本,攻擊者可以通過組合利用這些漏洞獲得初始訪問權限、造成蠕蟲利用、權限提升、安裝程序、修改數據并創建新賬戶。

21 Nails Exim中,10個可遠程利用的漏洞為:

CVE-2020-28017:receive_add_recipient()中的整數溢出

CVE-2020-28020:receive_msg()中的整數溢出

CVE-2020-28023:在smtp_setup_msg()中讀取越界

CVE-2020-28021:在spool頭文件中注入新行

CVE-2020-28022:extract_option()中堆越界讀取和寫入

CVE-2020-28026:spool_read_header()中的行截斷和注入

CVE-2020-28019:BDAT錯誤后無法重置函數指針

CVE-2020-28024:smtp_ungetc()中的堆緩沖區下溢

CVE-2020-28018:在tls-openssl.c中Use-after-free

CVE-2020-28025:在pdkim_finish_bodyhash()中堆越界讀取

 

21 Nails Exim中,11個本地利用的漏洞為:

CVE-2020-28007:Exim日志目錄中的鏈接攻擊

CVE-2020-28008:Exim的spool目錄中的各種攻擊

CVE-2020-28014:任意文件創建和口令攻擊

CVE-2021-27216:刪除任意文件

CVE-2020-28011:queue_run()中的堆緩沖區溢出

CVE-2020-28010:main()中的堆越界寫操作

CVE-2020-28013:parse_fix_phrase()中的堆緩沖區溢出

CVE-2020-28016:parse_fix_phrase()中的堆越界寫入

CVE-2020-28015:在spool頭文件中注入新行

CVE-2020-28012:特權管道缺少執行時關閉的標志

CVE-2020-28009:get_stdinput()中的整數溢出

 

在這些漏洞中,CVE-2020-28018是最嚴重的漏洞之一,如果Exim服務器是用OpenSSL構建的;如果STARTTLS和PIPELINING(默認)被啟用;如果X_PIPE_CONNECT被禁用(Exim 4.94之前的默認設置),它就可以被利用。另一個值得注意的漏洞是CVE-2020-28020,它是一個整數溢出漏洞,未經身份驗證的遠程攻擊者可以利用它以 “exim ”用戶身份執行任意命令并窺探數據,它存在于receive_msg()函數中,并且功能強大,但也是21個漏洞中最難利用的。而當CVE-2020-28021與其它漏洞組合利用時,經過驗證的遠程攻擊者可以在spool頭文件中注入新行,并以root身份執行任意命令。

 

影響范圍

2004年之后開發的所有版本

 

0x02 處置建議

Qualys的研究人員和Exim官方均發布了相關補丁。至于各種Linux發行版,最廣泛使用的(CentOS、RHEL和SuSE),已經推出了修復程序。Debian在 “oldstable”(代號Stretch)、“stable”(Buster)或 “Still-in-development”(Sid)版本中不存在這些漏洞,而“unstable”(Bullseye)版本則存在漏洞,且目前尚未修復。

相關漏洞的修復方法或補丁建議參考Qualys發布的安全咨詢:

https://www.qualys.com/2021/05/04/21nails/21nails.txt

 

0x03 參考鏈接

https://www.qualys.com/2021/05/04/21nails/21nails.txt

https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/

http://www.exim.org/

 

0x04 時間線

2021-05-04  Qualys公開披露漏洞

2021-05-07  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇