Exim Mail Server 5月多个安全漏洞

发布时间 2021-05-07

0x00 漏洞概述

Exim是由剑桥大学开发的消息传输代理(MTA),主要被构建在类Unix操作系统上发送和接收电子邮件。比如,它已预装在Linux发行版(如Debian)上。Exim可以处理大量互联网流量,其使用非常广泛。

2021年05月04日,Qualys公开披露了Exim邮件服务器中的21个安全漏洞,攻击者可以通过组合利用这些漏洞进行未经身份验证的远程代码执行(RCE),获得root用户权限和蠕虫式横向移动。

 

0x01 漏洞详情

image.png

MTA是攻击者感兴趣的目标,因为它们通常可以通过Internet访问,一旦被利用,攻击者就可以修改邮件服务器上的电子邮件设置,并在目标邮件服务器上创建新帐户。去年,Exim中的漏洞曾成为APT的目标。根据Shodan的搜索,目前大约有400万台Exim服务器直接暴露在互联网上。

在本次公开的21个漏洞中,其中10个可以被远程利用。虽然Qualys未发布任何完整的漏洞Poc,但其中大多数都可以在默认配置或常见配置中被利用,这些漏洞会影响Exim于2004年之后开发的所有版本,攻击者可以通过组合利用这些漏洞获得初始访问权限、造成蠕虫利用、权限提升、安装程序、修改数据并创建新账户。

21 Nails Exim中,10个可远程利用的漏洞为:

CVE-2020-28017:receive_add_recipient()中的整数溢出

CVE-2020-28020:receive_msg()中的整数溢出

CVE-2020-28023:在smtp_setup_msg()中读取越界

CVE-2020-28021:在spool头文件中注入新行

CVE-2020-28022:extract_option()中堆越界读取和写入

CVE-2020-28026:spool_read_header()中的行截断和注入

CVE-2020-28019:BDAT错误后无法重置函数指针

CVE-2020-28024:smtp_ungetc()中的堆缓冲区下溢

CVE-2020-28018:在tls-openssl.c中Use-after-free

CVE-2020-28025:在pdkim_finish_bodyhash()中堆越界读取

 

21 Nails Exim中,11个本地利用的漏洞为:

CVE-2020-28007:Exim日志目录中的链接攻击

CVE-2020-28008:Exim的spool目录中的各种攻击

CVE-2020-28014:任意文件创建和口令攻击

CVE-2021-27216:删除任意文件

CVE-2020-28011:queue_run()中的堆缓冲区溢出

CVE-2020-28010:main()中的堆越界写操作

CVE-2020-28013:parse_fix_phrase()中的堆缓冲区溢出

CVE-2020-28016:parse_fix_phrase()中的堆越界写入

CVE-2020-28015:在spool头文件中注入新行

CVE-2020-28012:特权管道缺少执行时关闭的标志

CVE-2020-28009:get_stdinput()中的整数溢出

 

在这些漏洞中,CVE-2020-28018是最严重的漏洞之一,如果Exim服务器是用OpenSSL构建的;如果STARTTLS和PIPELINING(默认)被启用;如果X_PIPE_CONNECT被禁用(Exim 4.94之前的默认设置),它就可以被利用。另一个值得注意的漏洞是CVE-2020-28020,它是一个整数溢出漏洞,未经身份验证的远程攻击者可以利用它以 “exim ”用户身份执行任意命令并窥探数据,它存在于receive_msg()函数中,并且功能强大,但也是21个漏洞中最难利用的。而当CVE-2020-28021与其它漏洞组合利用时,经过验证的远程攻击者可以在spool头文件中注入新行,并以root身份执行任意命令。

 

影响范围

2004年之后开发的所有版本

 

0x02 处置建议

Qualys的研究人员和Exim官方均发布了相关补丁。至于各种Linux发行版,最广泛使用的(CentOS、RHEL和SuSE),已经推出了修复程序。Debian在 “oldstable”(代号Stretch)、“stable”(Buster)或 “Still-in-development”(Sid)版本中不存在这些漏洞,而“unstable”(Bullseye)版本则存在漏洞,且目前尚未修复。

相关漏洞的修复方法或补丁建议参考Qualys发布的安全咨询:

https://www.qualys.com/2021/05/04/21nails/21nails.txt

 

0x03 参考链接

https://www.qualys.com/2021/05/04/21nails/21nails.txt

https://threatpost.com/exim-security-linux-mail-server-takeovers/165894/

http://www.exim.org/

 

0x04 时间线

2021-05-04  Qualys公开披露漏洞

2021-05-07  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png