Первого мая текущего года IT-компания сформировала статистику использования различных почтовых серверов, опубликованных в сети Интернет. Оказалось, что порядка 60% из них работают на базе MTA (Mail Transfer Agent) Exim, что делает этот тип почтового сервера самым востребованным в настоящее время.
Группа исследователей из Qualys решила проверить насколько безопасно его использование и в результате тщательного обнаружила 21 уязвимость под общим названием «», 10 из которых возможно использовать удаленно. Некоторые из них могут быть объединены для удаленного выполнения кода в обход аутентификации и получения привилегий root на сервере Exim, что позволяет удаленному злоумышленнику выполнять команды для установки программ, создавать новые учетные записи, изменять настройки безопасности на почтовых серверах и многое другое.
Например, ошибка безопасности CVE-2020-28018 позволяет эксплуатировать «use-after-free» уязвимость, возникающую из-за ошибки использования динамической памяти в функции TLS-шифрования на серверах, использующих OpenSSL. Уязвимость CVE-2020-28020, позволяет удаленному злоумышленнику, не прошедшему аутентификацию, использовать целочисленное переполнение чтобы выполнять произвольные команды в качестве пользователя «exim». А CVE-2020-28021 хоть и требует предварительной аутентификации клиента SMTP, но позволяет удалённо выполнить код с правами root, добившись подстановки новых строк в заголовок спул-файла (файла, отвечающего за формирование очереди сообщений).
Ниже приведен перечень всех обнаруженных уязвимостей.
CVE ID | Описание | Тип |
CVE-2020-28007 | Атака через символическую ссылку в каталоге с логом Exim | Локальная |
CVE-2020-28008 | Атаки на каталог со спулом (/var/spool/exim4/input) | Локальная |
CVE-2020-28009 | Целочисленное переполнение в функции get_stdinput () | Локальная |
CVE-2020-28010 | Запись за границу буфера в функции в main () | Локальная |
CVE-2020-28011 | Переполнение буфера в функции queue_run() | Локальная |
CVE-2020-28012 | Отсутствие флага close-on-exec для привилегированного неименованного канала | Локальная |
CVE-2020-28013 | Переполнение буфера в функции parse_fix_phrase() | Локальная |
CVE-2020-28014 | Создание произвольного файла | Локальная |
CVE-2020-28015 | Подстановка новой строки в заголовок спул-файла | Локальная |
CVE-2020-28016 | Запись за границу буфера в функции parse_fix_phrase() | Локальная |
CVE-2020-28017 | Целочисленное переполнение в функции receive_add_recipient() | Удаленная |
CVE-2020-28018 | Обращение к буферу после его освобождения (use-after-free) в tls-openssl.c | Удаленная |
CVE-2020-28019 | Сбой при сбросе указателя на функцию после возникновения ошибки BDAT | Удаленная |
CVE-2020-28020 | Целочисленное переполнение в функции receive_msg() | Удаленная |
CVE-2020-28021 | Подстановка новой строки в заголовок спул-файла | Удаленная |
CVE-2020-28022 | Чтение и запись за пределами буфера в функции extract_option () | Удаленная |
CVE-2020-28023 | Чтение за пределами буфера в функции smtp_setup_msg () | Удаленная |
CVE-2020-28024 | Переполнение через нижнюю границу буфера в функции smtp_ungetc() | Удаленная |
CVE-2020-28025 | Чтение из области вне выделенного буфера в функции pdkim_finish_bodyhash() | Удаленная |
CVE-2020-28026 | Усечение и подстановка строки в функции spool_read_header() | Удаленная |
CVE-2021-27216 | Удаление произвольного файла | Локальная |
Большинство уязвимостей, обнаруженных исследовательской группой, затрагивает все версии Exim начиная с 2004 года. К счастью, в почтового сервера все найденные бреши устранены, поэтому администраторам настоятельно рекомендуется установить срочный патч.
«Часто почтовые серверы Exim становятся ключевой целью для злоумышленников по двум причинам: первая – высокий уровень популярности среди других MTA, используемых для общего доступа (то есть доступных в сети Интернет); вторая – повышенное внимание со стороны хакеров к сервису электронной почты в целом с точки зрения вектора атаки и отправной точки при компрометации сети жертвы, – комментирует директор Инженерного центра Angara Professional Assistance Тимур Кузнецов. – Мы рекомендуем использовать комплексный подход для организации защиты от угроз, возникающих при эксплуатации почтовых сервисов. Контроль содержимого почтового трафика в совокупности с повышением осведомленности конечных пользователей в вопросах безопасной обработки входящей корреспонденции в разы уменьшает шансы на успешную атаку для злоумышленника».
Услуга ACR SERVICE ANTIAPT, входящая в пакет услуг нашей компанией, позволяет не только проверять почтовый трафик на предмет вредоносного содержимого (ссылки, вложения), но и анализировать Интернет-трафик через прокси-сервер организации, обеспечивая дополнительный контроль при переходе пользователей по ссылкам из электронных писем. В дополнение к ней Angara Professional Assistance предлагает услугу Антифишинг, которая позволяет повысить уровень информационной безопасности компании за счет обучения работников цифровой грамотности, в том числе в вопросах обработки электронных писем.
Ознакомиться с дополнительной информацией об услугах можно на нашем сайте в разделе «», блоки «ACR SERVICES EDR и ANTIAPT» и «АНТИФИШИНГ», а также у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.
