ALERT – Neue 21Nails Exim-Bugs machen Millionen von E-Mail-Servern angreifbar

Cyber Security News

Die Betreuer von Exim haben Patches veröffentlicht, um bis zu 21 Sicherheitslücken in der Software zu beheben, die es nicht authentifizierten Angreifern ermöglichen könnten, vollständige Remote-Code-Ausführung zu erreichen und Root-Rechte zu erlangen.

Die unter dem Namen “21Nails” zusammengefassten Schwachstellen umfassen 11 Schwachstellen, die einen lokalen Zugriff auf den Server erfordern, und 10 weitere Schwachstellen, die aus der Ferne ausgenutzt werden können. Die Probleme wurden von Qualys entdeckt und am 20. Oktober 2020 an Exim gemeldet.

“Einige der Schwachstellen können miteinander verkettet werden, um eine vollständige unauthentifizierte Remote-Codeausführung zu erreichen und Root-Rechte auf dem Exim-Server zu erlangen”, sagte Bharat Jogi, Senior Manager bei Qualys, in der öffentlichen Bekanntmachung. “Die meisten der vom Qualys-Forschungsteam entdeckten Schwachstellen, wie zum Beispiel CVE-2020-28017, betreffen alle Versionen von Exim, die bis ins Jahr 2004 zurückreichen.”

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Exim ist ein beliebter Mail-Transfer-Agent (MTA), der auf Unix-ähnlichen Betriebssystemen eingesetzt wird. Auf über 60 % der öffentlich erreichbaren Mail-Server im Internet läuft diese Software.

“Laut einer aktuellen Umfrage laufen schätzungsweise 60 % der Internet-Server mit Exim. Eine Shodan-Suche zeigt, dass fast 4 Millionen Exim-Server dem Internet ausgesetzt sind.”

Exim Mail Server Multiple Vulnerabilities (21Nails) from Qualys, Inc. on Vimeo.

Eine kurze Zusammenfassung der 21 Schwachstellen ist unten aufgeführt. Wenn sie erfolgreich ausgenutzt werden, könnten sie verwendet werden, um E-Mail-Einstellungen zu verändern und sogar neue Konten auf den kompromittierten Mail-Servern hinzuzufügen. Technische Details zu den Fehlern können hier eingesehen werden.

Lokale Sicherheitslücken: CVE-2020-28007: Link-Angriff im Log-Verzeichnis von Exim CVE-2020-28008: Diverse Angriffe im Spool-Verzeichnis von Exim CVE-2020-28014: Beliebige Dateierstellung und Clobbering CVE-2021-27216: Beliebiges Löschen von Dateien CVE-2020-28011: Heap-Pufferüberlauf in queue_run() CVE-2020-28010: Heap out-of-bounds write in main() CVE-2020-28013: Heap-Pufferüberlauf in parse_fix_phrase() CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase() CVE-2020-28015: Neuzeileninjektion in Spool-Header-Datei (lokal) CVE-2020-28012: Fehlendes close-on-exec-Flag für privilegierte Pipe CVE-2020-28009: Integer-Überlauf in get_stdinput()

Entfernte Sicherheitslücken: CVE-2020-28017: Integer-Überlauf in receive_add_recipient() CVE-2020-28020: Ganzzahliger Überlauf in receive_msg() CVE-2020-28023: Out-of-bounds read in smtp_setup_msg() CVE-2020-28021: Neuzeileninjektion in Spool-Header-Datei (remote) CVE-2020-28022: Heap out-of-bounds lesen und schreiben in extract_option() CVE-2020-28026: Zeilenabschneidung und Injektion in spool_read_header() CVE-2020-28019: Fehler beim Zurücksetzen des Funktionszeigers nach BDAT-Fehler CVE-2020-28024: Heap-Puffer-Unterlauf in smtp_ungetc() CVE-2020-28018: Use-after-free in tls-openssl.c CVE-2020-28025: Heap out-of-bounds lesen in pdkim_finish_bodyhash()

Angesichts der jüngsten Hacks von Microsoft Exchange-Servern ist es zwingend erforderlich, dass die Patches sofort angewendet werden, da sich E-Mail-Server als lukratives Ziel für Spionagekampagnen entpuppt haben. In der Vergangenheit wurden Schwachstellen in der Exim-Software aktiv von böswilligen Akteuren ausgenutzt, um eine Vielzahl von Angriffen zu starten, einschließlich der Installation eines Linux-Wurms, um Cryptocurrency-Miner auf den betroffenen Servern zu installieren.

Im vergangenen Mai warnte die Nationale Sicherheitsbehörde der USA (NSA), dass russische Militärangehörige, öffentlich bekannt als Sandworm Team, eine als CVE-2019-10149 (auch bekannt als The Return of the WIZard) verfolgte Schwachstelle zur Remotecodeausführung ausnutzen, um “privilegierte Benutzer hinzuzufügen, Netzwerksicherheitseinstellungen zu deaktivieren und zusätzliche Skripte für die weitere Ausnutzung des Netzwerks auszuführen”, und zwar mindestens seit August 2019.

[Blocked Image: https://thehackernews.com/images/-LTCI-TYDDyI/YJJM-dak08I/AAAAAAAACdE/R23xKpIkqSk-VHNKuDAmNYBV7PljRigJwCLcBGAsYHQ/s0/exim.jpg]

Die NSA nannte es einen “Traumzugang für Angreifer”.

“Mail Transfer Agents sind interessante Ziele für Angreifer, weil sie in der Regel über das Internet zugänglich sind”, sagte Jogi. “Einmal ausgenutzt, könnten sie sensible E-Mail-Einstellungen auf den Mail-Servern ändern und es den Angreifern ermöglichen, neue Konten auf den Ziel-Mail-Servern zu erstellen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com