全球将近六成服务器使用的邮件服务器组件Exim再传重大漏洞,可让黑客以最高权限执行任意指令,而在发现一周后,研究人员已经发现至少二个团体已经发动攻击,其中Linux服务器用户尤为重点目标。Exim是开源邮件传输代理程序(Mail Tansfer Agent,MTA),广泛用于全球邮件服务器上。根据统计目前全球有大约57%,超过50万台邮件服务器使用Exim,甚至有人估计高达370万台。使用广泛的Exim在2017年底及去年三月也先后成为黑客下手目标。安全厂商Qualys上周警告Exim存在编号CVE-2019-10149的远程指令执行(Remote Command Execution,RCE)漏洞。该漏洞让攻击者可以execv()函数以根权限执行指令,无需引发内存毁损或ROP(Return-Oriented Programming),进而接管受害服务器。
本地端攻击者或是在特定非预设组态下的远程攻击者可轻松开采这项漏洞。远程攻击者则需要连续和目标服务器保持7天联机,并以每几分钟 1 byte的速度传输进行攻击。但研究人员提醒,有鉴于Exim程序代码的复杂性,可能出现更快的攻击方法。本漏洞的CVSS v3.0版风险分数为9.8分,被列为重大风险。受影响版本包括4.87 到4.91版的Exim。Exim管理组织也呼吁用户应升级到最新版本4.92版。而在一周后,已经有安全研究人员发现网络上有攻击程序。首先,独立安全研究者Freddie Leeman发现针对CVE-2019-10149而来的第一个攻击程序,出自一台位在**http://173.212.214.137/s**的遭感染的主机。
本周安全厂商又发现另一桩攻击行动。Cyren 研究人员Magni Sigurðsson及安全厂商Cyberreason分别发现,黑客传送一个包含Envelope-From(532.MailFrom)程序代码的邮件、下载shell script目的在使用Exim服务器上的私有密钥,藉此开启外部对这台Exim服务器的SSH联机,进而下载后门程序。Cyberreason研究人员Amit Serper并发现,第二波攻击是一个自我繁殖的蠕虫,在远程执行指令完成后就启动传输埠扫瞄,寻找其他感染目标,之后它会移除Exim服务器上的挖矿程序及任何防护工具,再安装自己的挖矿程序。第二波攻击目标包括几乎所有版本的Linux服务器。Red Hat Enterprise Linux、Debian、openSUSE、Ubuntu也都各自发布紧急安全公告,呼吁用户尽速升级到Exim 4.92版。