W zeszłym tygodniu informowaliśmy o odnalezionej przez grupę Qualys podatności w Eximie – oprogramowaniu, które działa na ponad połowie wszystkich serwerów poczty na świecie. Niestety, pojawiły się informacje, że trwa szeroko zakrojona kampania mająca na celu włamania do niezałatanych serwerów i przejęcie nad nimi kontroli.
Gwoli przypomnienia, podatność CVE-2019-10149 pozwala na zdalne wykonanie poleceń (ale nie wykonanie dowolnego kodu) i ma status krytycznej. Wystarczy, że administrator zmodyfikował listę ACL, aby z wykorzystaniem funkcji deliver_message() możliwe było przetworzenie ciągu ${run{ }} jako polecenia wykonania dowolnej komendy z uprawnieniami roota. Polecenie dostarczyć można wysłanie na ${run{...}}@localhost, gdzie localhost to jedna z domen local_domains spreparowanego maila.
Choć została udostępniona łatka bezpieczeństwa, to trudno wyobrazić sobie, aby aktualizacja programu wykorzystywanego na tak ogromną skalę przebiegała sprawnie. Jak wspomnieliśmy, szacuje się, ze z Exima korzysta ponad połowa wszystkich serwerów poczty, co daje grubo ponad 5 mln instalacji. Przed tygodniem liczbę załatanych serwerów, tj. z Eximem zaktualizowanym co najmniej do wersji 4.92, szacowano na nieco ponad 4%. Dziś wiadomo już, że wartość ta jest większa, nadal mowa jednak o milionach podatnych serwerów.
Według danych zgromadzonych przez Sergiu Gatlan z redakcji Bleeping Computer, aktualnie bezpiecznych jest ponad 1,76 mln serwerów, co jednak oznacza, że około 3,68 mln wciąż pozostaje niezabezpieczonych. Najwięcej z nich, bo ponad 2 mln, znajduje się w Stanach Zjednoczonych. Jak należało się nie spodziewać, nie brakuje chętnych, by wykorzystać niefrasobliwość administratorów i z wykorzystaniem CVE-2019-10149 (nazywanej także „Return of the WIZard”) przejąć kontrolę nad serwerami.
Do skanowania w poszukiwaniu podatności wykorzystywany jest bashowy skrypt. Po pozytywnym rozpoznaniu pobiera on kolejny skrypt (pamiętajmy, że podatność pozwala na zdalne wykonanie poleceń, a nie dowolnego kodu), który sprawdza, czy na podatnej maszynie zainstalowane jest m.in. OpenSSH. Jeśli nie, to klient instalowany jest przez APT. Następnie z wykorzystaniem SSH przejmują pełną zdalną kontrolę nad serwerem.
Aktualnie wykorzystywanych jest kilka wariantów eksploatacji podatności CVE-2019-10149. Dostrzeżono kampanie pochodzące z wielu źródeł, część z nich kryje się za węzłami sieci Tor. Administratorom zaleca się jak najszybszą aktualizację Exima do najnowszej wersji, jeśli nie uczynili tego dotąd. Stawką jest bezpieczeństwo dziesiątek milionów serwerów.
Zobacz też: Exim dziurawy – ponad połowa wszystkich serwerów poczty w niebezpieczeństwie
