Millionen mit dem Internet verbundener Computer, auf denen der Open-Source-Exim-Mailserver läuft, sind möglicherweise anfällig für eine neue Schwachstelle. Dieser ermöglicht es in einigen Fällen nicht authentifizierten Angreifern Befehle mit Root-Rechten auszuführen.
Anzeige
Sowohl ZDNet.com als auch Arstechnica.com und Bleeping ComputerBleeping Computer berichten über eine kritische Remote Command Execution (RCE) Sicherheitslücke im Exim-Mailserver. Sicherheitsforscher von Qualys haben die Schwachstelle aufgedeckt.
Trival ausnutzbarer Fehler bis Version 4.87
Der Fehler, der auf die im April 2016 veröffentlichte Version 4.87 zurückgeht, ist für lokale Benutzer mit einem niedrigprivilegierten Konto auf einem anfälligen System, das mit Standardeinstellungen ausgeführt wird, trivial ausnutzbar. Alles, was erforderlich ist, ist, dass die Person eine E-Mail an "${run{…}}@localhost" sendet, wobei "localhost" eine bestehende lokale Domäne auf einer verwundbaren Exim-Installation ist. Damit können Angreifer Befehle ihrer Wahl mit Root-Rechten ausführen.
Der Fehler bei der Befehlsausführung ist auch remote per Internet ausnutzbar, wenn auch mit einigen Einschränkungen. Das wahrscheinlichste Szenario für Remote Exploits ist, wenn Standardeinstellungen vorgenommen wurden, wie z.B.:
- Der "verify = recipient" wird von einem Administrator manuell entfernt, möglicherweise um die Aufzählung des Benutzernamens mit den RCPT TO-Funktionen zu verhindern. In einem solchen Fall funktioniert die oben genannte lokale Verwertungsmethode.
- Exim ist konfiguriert, um Tags im lokalen Teil der Empfängeradresse zu erkennen (z.B. durch "local_part_suffix = +* : -*"). Angreifer können die Schwachstelle ausnutzen, indem sie die lokale Exploit-Methode mit einem RCPT TO "balrog+${run{…}}@localhost" (wobei "balrog" der Name eines lokalen Benutzers ist) wiederverwenden.
- Exim ist konfiguriert, um E-Mails an eine entfernte Domäne als sekundären MX weiterzuleiten. Ein entfernter Angreifer kann die lokale Ausbeutungsmethode mit einem RCPT TO "${run{…}}}@khazad.dum" wiederverwenden, wobei "khazad.dum" eine der relay_to_domains von Exim ist.
Die Schwachstelle ist auch gegen Standard-Exim-Setups remote ausnutzbar, obwohl ein Angreifer zunächst eine Verbindung zum anfälligen Server sieben Tage lang offen halten muss, indem er alle paar Minuten ein Byte sendet. Sicherheitsforscher von Qualys, die die Schwachstelle entdeckt haben, schließen einfachere und praktischere Möglichkeiten zur Remote-Ausnutzung des Standard-Setups nicht aus.
Anzeige
Die Schwachstelle CVE-2019-10149 betrifft die Exim-Versionen 4.87 bis 4.91. Der Fehler wurde im Februar in der Version 4.92 behoben. Aber die Release Informationen der neuen Version haben nie die Schwachstelle identifiziert. Darüber hinaus werden viele Linux-Distributionen weiterhin mit anfälligen Exim-Versionen ausgeliefert. Die Qualys-Sicherheitsforscher haben dieses Advisory zum Thema veröffentlicht.
Anzeige
"Der Fehler wurde im Februar in der Version 4.92 behoben. Aber die Release Informationen der neuen Version haben nie die Schwachstelle identifiziert."
Das heißt auf deutsch….die Schwachstelle wurde aus Versehen behoben???
Oder wurde sie nur nicht deklariert?