WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Lỗ hổng trong mail server Exim cho phép thực thi mã từ xa với đặc quyền root
Các máy chủ mail của Exim có thể bị tấn công bởi một lỗ hổng an ninh cho phép kẻ tấn công cục bộ hoặc từ xa thực thi mã tùy ý với đặc quyền root.
Theo các nhà phát triển Exim, lỗ hổng CVE-2019-15846 này ảnh hưởng đến các phiên bản 4.92.1 trở về trước.
Đây là lỗi tràn vùng dữ liệu heap ảnh hưởng đến các máy chủ của Exim có chấp nhận các kết nối TLS và khả năng khai thác không phụ thuộc vào thư viện TLS được sử dụng. Các nhà phát triển cho biết cả GnuTLS và OpenSSL đều bị ảnh hưởng.
Theo khuyến cáo: “Kẻ tấn công khai thác lỗ hổng bằng cách gửi một SNI kết thúc bằng một dãy ký tự “\0” trong quá trình handshake TLS (quá trình máy chủ và máy khách xác nhận lẫn nhau và bắt đầu giao tiếp) ban đầu”.
Trong khi vẫn chưa có bằng chứng về việc khai thác vì mục đích xấu, các nhà nghiên cứu của Qualys đã phân tích lỗ hổng và phát triển một PoC cơ bản để demo quá trình khai thác tràn vùng dữ liệu heap. Lỗ hổng đã được báo cáo cho Exim vào tháng bảy.
Có thể ngăn chặn việc khai thác lỗ hổng bằng cách cấu hình máy chủ không chấp nhận các kết nối TLS nhưng cách làm này không được khuyến khích. Một cách khác là bổ sung các luật cụ thể trong danh sách kiểm soát truy cập.
Chuyên gia bảo mật Craig Young cho biết: “Đây là một lỗi tràn bộ đệm, không trực tiếp cho phép kẻ tấn công thực thi các lệnh với đặc quyền root mà chủ yếu cho phép kẻ tấn công ghi đè bộ nhớ, có thể được dùng để lưu trữ việc thực thi mã. Kiểu tấn công này khác hoàn toàn với việc thực thi lệnh từ xa bởi việc triển khai chương trình có lỗ hổng không đơn giản, đồng thời hacker cũng phải vượt qua các cơ chế hạn chế tấn công của hệ điều hành”.
Exim đã phát hành phiên bản 4.92.2 để vá lỗi này.
Exim là một trong những dịch vụ mail server lớn nhất hiện nay. Theo thống kê trên trang Shodan, hiện khoảng 5 triệu máy, chủ yếu tại Mỹ. Chính điều này khiến Exim trở thành mục tiêu hấp dẫn của kẻ xấu.
Vào giữa tháng 6 năm nay, các chuyên gia và các công ty cảnh báo về lỗ hổng CVE-2019-10149 của Exim (đã có bản vá) bị khai thác để phát tán mã độc đào tiền ảo.
Theo các nhà phát triển Exim, lỗ hổng CVE-2019-15846 này ảnh hưởng đến các phiên bản 4.92.1 trở về trước.
Đây là lỗi tràn vùng dữ liệu heap ảnh hưởng đến các máy chủ của Exim có chấp nhận các kết nối TLS và khả năng khai thác không phụ thuộc vào thư viện TLS được sử dụng. Các nhà phát triển cho biết cả GnuTLS và OpenSSL đều bị ảnh hưởng.
Theo khuyến cáo: “Kẻ tấn công khai thác lỗ hổng bằng cách gửi một SNI kết thúc bằng một dãy ký tự “\0” trong quá trình handshake TLS (quá trình máy chủ và máy khách xác nhận lẫn nhau và bắt đầu giao tiếp) ban đầu”.
Trong khi vẫn chưa có bằng chứng về việc khai thác vì mục đích xấu, các nhà nghiên cứu của Qualys đã phân tích lỗ hổng và phát triển một PoC cơ bản để demo quá trình khai thác tràn vùng dữ liệu heap. Lỗ hổng đã được báo cáo cho Exim vào tháng bảy.
Có thể ngăn chặn việc khai thác lỗ hổng bằng cách cấu hình máy chủ không chấp nhận các kết nối TLS nhưng cách làm này không được khuyến khích. Một cách khác là bổ sung các luật cụ thể trong danh sách kiểm soát truy cập.
Chuyên gia bảo mật Craig Young cho biết: “Đây là một lỗi tràn bộ đệm, không trực tiếp cho phép kẻ tấn công thực thi các lệnh với đặc quyền root mà chủ yếu cho phép kẻ tấn công ghi đè bộ nhớ, có thể được dùng để lưu trữ việc thực thi mã. Kiểu tấn công này khác hoàn toàn với việc thực thi lệnh từ xa bởi việc triển khai chương trình có lỗ hổng không đơn giản, đồng thời hacker cũng phải vượt qua các cơ chế hạn chế tấn công của hệ điều hành”.
Exim đã phát hành phiên bản 4.92.2 để vá lỗi này.
Exim là một trong những dịch vụ mail server lớn nhất hiện nay. Theo thống kê trên trang Shodan, hiện khoảng 5 triệu máy, chủ yếu tại Mỹ. Chính điều này khiến Exim trở thành mục tiêu hấp dẫn của kẻ xấu.
Vào giữa tháng 6 năm nay, các chuyên gia và các công ty cảnh báo về lỗ hổng CVE-2019-10149 của Exim (đã có bản vá) bị khai thác để phát tán mã độc đào tiền ảo.
Theo SecurityWeek