抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

Exim Mail Server 5月多个宁静漏洞

宣布时间 2021-05-07

0x00 漏洞概述

Exim是由剑桥大学开发的消息传输署理（MTA），主要被构建在类Unix操作系统上发送和接收电子邮件。好比，它已预装在Linux刊行版（如Debian）上。Exim可以处置大量互联网流量，其使用非常广泛。

2021年05月04日，Qualys果然披露了Exim邮件服务器中的21个宁静漏洞，攻击者可以通过组合利用这些漏洞进行未经身份验证的远程代码执行（RCE），获得root用户权限和蠕虫式横向移动。

0x01 漏洞详情

MTA是攻击者感兴趣的目标，因为它们通�？梢酝ü齀nternet访问，一旦被利用，攻击者就可以修改邮件服务器上的电子邮件设置，并在目标邮件服务器上创建新帐户。去年，Exim中的漏洞曾成为APT的目标。凭据Shodan的搜索，目前约莫有400万台Exim服务器直接袒露在互联网上。

在本次果然的21个漏洞中，其中10个可以被远程利用。虽然Qualys并未宣布任何完整的漏洞Poc，但其中大多数都可以在默认配置或常见配置中被利用，这些漏洞会影响Exim于2004年之后开发的所有版本，攻击者可以通过组合利用这些漏洞获得初始访问权限、造成蠕虫利用、权限提升、安装法式、修改数据并创建新账户。

21 Nails Exim中，10个可远程利用的漏洞为：

CVE-2020-28017：receive_add_recipient（）中的整数溢出

CVE-2020-28020：receive_msg（）中的整数溢出

CVE-2020-28023：在smtp_setup_msg（）中读取越界

CVE-2020-28021：在spool头文件中注入新行

CVE-2020-28022：extract_option（）中堆越界读取和写入

CVE-2020-28026：spool_read_header（）中的行截断和注入

CVE-2020-28019：BDAT错误后无法重置函数指针

CVE-2020-28024：smtp_ungetc（）中的堆缓冲区下溢

CVE-2020-28018：在tls-openssl.c中Use-after-free

CVE-2020-28025：在pdkim_finish_bodyhash（）中堆越界读取

21 Nails Exim中，11个当地利用的漏洞为：

CVE-2020-28007：Exim日志目录中的链接攻击

CVE-2020-28008：Exim的spool目录中的种种攻击

CVE-2020-28014：任意文件创建和口令攻击

CVE-2021-27216：删除任意文件

CVE-2020-28011：queue_run（）中的堆缓冲区溢出

CVE-2020-28010：main()中的堆越界写操作

CVE-2020-28013：parse_fix_phrase（）中的堆缓冲区溢出

CVE-2020-28016：parse_fix_phrase()中的堆越界写入

CVE-2020-28015：在spool头文件中注入新行

CVE-2020-28012：特权管道缺少执行时关闭的标志

CVE-2020-28009：get_stdinput（）中的整数溢出

在这些漏洞中，CVE-2020-28018是最严重的漏洞之一，如果Exim服务器是用OpenSSL构建的；如果STARTTLS和PIPELINING（默认）被启用；如果X_PIPE_CONNECT被禁用（Exim 4.94之前的默认设置），它就可以被利用。另一个值得注意的漏洞是CVE-2020-28020，它是一个整数溢出漏洞，未经身份验证的远程攻击者可以利用它以 “exim ”用户身份执行任意命令并窥探数据，它存在于receive_msg（）函数中，而且功效强大，但也是21个漏洞中最难利用的。而当CVE-2020-28021与其它漏洞组合利用时，经过验证的远程攻击者可以在spool头文件中注入新行，并以root身份执行任意命令。

影响范围

2004年之后开发的所有版本

0x02 处置建议

Qualys的研究人员和Exim官方均宣布了相关补丁。至于种种Linux刊行版，最广泛使用的（CentOS、RHEL和SuSE），已经推出了修复法式。Debian在 “oldstable”（代号Stretch）、“stable”（Buster）或 “Still-in-development”（Sid）版本中不存在这些漏洞，而“unstable”（Bullseye）版本则存在漏洞，且目前尚未修复。

相关漏洞的修复要领或补丁建议参考Qualys宣布的宁静咨询：

https://www.qualys.com/2021/05/04/21nails/21nails.txt

0x03 参考链接

https://www.qualys.com/2021/05/04/21nails/21nails.txt

https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/

http://www.exim.org/

0x04 时间线

2021-05-04 Qualys果然披露漏洞

2021-05-07 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号