06/06/19
Исследователи компании Qualys обнаружили критическую уязвимость, затрагивающую более половины почтовых серверов. Проблема была обнаружена в агенте пересылки почты (MTA) Exim – ПО, устанавливаемом на почтовых серверах для доставки электронных писем от отправителя к адресату.
По данным за июнь 2019 года, Exim установлено на 57% (507 389) от всех видимых через интернет серверов. Правда, есть сведения, что на самом деле число установок Exim превышает это число в десять раз и составляет 5,4 млн.
Обнаруженной специалистами Qualys уязвимости подвержены версии ПО от 4.87 до 4.91. Уязвимость позволяет удаленному/локальному злоумышленнику запускать на почтовом сервере команды с привилегиями суперпользователя. Локальный атакующий, даже с самыми низкими привилегиями, может проэксплуатировать ее немедленно. Однако наибольшую опасность представляют удаленные злоумышленники, сканирующие интернет в поисках уязвимых серверов и способные захватить контроль над уязвимыми системами.
Для удаленной эксплуатации уязвимости при конфигурации по умолчанию атакующий должен сохранять подключение к уязвимому серверу в течение семи дней (путем передачи одного байта каждые несколько минут). Исследователи также допускают возможность существования более быстрых способов эксплуатации уязвимости, однако из-за чрезмерной сложности кода Exim им пока удалось обнаружить только этот. Кроме того, проэксплуатировать уязвимость удаленно можно не только при настройках конфигурации по умолчанию.
Проблема была исправлена в версии Exim 4.92, выпущенной в феврале нынешнего года. Примечательно, что на момент выхода новой версии ПО об уязвимости еще не было известно, и она была исправлена случайно. Проблема была обнаружена исследователями только во время аудита старых версий Exim. Уязвимости присвоен идентификатор CVE-2019-10149 , в Qualys она проходит под названием «Return of the WIZard».
