全新的RCE漏洞影响了近一半电子邮件服务器

Qualys的安全研究人员今天透露,一个关键的远程命令执行(RCE)安全漏洞影响了超过一半的互联网电子邮件服务器。

该漏洞影响Exim,一种邮件传输代理(MTA),它是在电子邮件服务器上运行的软件,用于将电子邮件从发件人中继到收件人。

根据2019年6月对互联网上可见的所有邮件服务器的调查,57%(507,389)的所有电子邮件服务器运行Exim – 尽管不同的报告会将Exim安装的数量设置为该数量的10倍,为540万

EXIM远程命令执行

在今天早些时候与ZDNet共享的安全警报中,专门从事云安全性和合规性的网络安全公司Qualys表示,它在运行版本4.87到4.91的Exim安装中发现了一个非常危险的漏洞。

该漏洞被描述为远程命令执行 – 与远程代码执行缺陷一样危险 – 允许本地或远程攻击者以root用户身份在Exim服务器上运行命令。

Qualys表示,即使使用低权限帐户,该漏洞也可以被存在于电子邮件服务器上的本地攻击者立即利用。

但真正的危险来自利用漏洞的远程黑客,他们可以扫描互联网以查找易受攻击的服务器,并接管系统。

“为了在默认配置中远程利用此漏洞,攻击者必须保持与易受攻击服务器的连接打开7天(每隔几分钟传输一个字节),”研究人员说。

“但是,由于Exim代码的极端复杂性,我们不能保证这种开发方法是独特的;可能存在更快的方法。”

此外,Qualys团队表示,当Exim处于某些非默认配置时,在远程情况下也可以进行即时利用。

漏洞被修补……偶然

该漏洞在2019年2月10日发布的Exim 4.92中得到修补,但在Exim团队发布v4.92时,他们并不知道他们修复了一个主要的安全漏洞。

这是Qualys团队最近才发现的,同时审核了旧的Exim版本。现在,Qualys的研究人员警告Exim用户更新到4.92版本,以避免他们的服务器被攻击者接管。根据2019年6月的电子邮件服务器市场份额报告,只有4.34%的Exim服务器运行最新的4.92版本。

在发给Linux发行版维护者的电子邮件中,Qualys表示该漏洞“非常容易被利用”,并预计攻击者会在未来几天内提出漏洞利用代码。

此Exim缺陷目前在CVE-2019-10149标识符下进行跟踪,但Qualys将其称为“ Wizard的返回 ”,因为该漏洞类似于90年代影响Sendmail电子邮件服务器的古老WIZDEBUG漏洞。