Rosyjscy hackerzy i podatność w Exim. Wchodzą jak w masło? Wystarczy wysłać mail.

Podatność w Exim.
Przez ostatnie dni nie tylko na portalach zza oceanu pojawia się wysyp artykułów o podatności w serwerze pocztowym Exim, który aktywnie mają wykorzystywać Rosjanie.
I nie byłoby w tym nic nadzwyczajnego, ot kolejna luka, którą trzeba załatać – gdyby nie fakt że informacje zapoczątkowała Narodowa Agencja Bezpieczeństwa (ang. NSA).
NSA twierdzi, że hakerzy wykorzystują poważną lukę w zabezpieczeniach, indeksowaną jako CVE-2019-10149, w agencie przesyłania poczty Exim (MTA) od co najmniej sierpnia 2019 r.
Aby wykorzystać lukę, hakerzy muszą tylko wysłać specjalnie spreparowaną wiadomość e-mail, która umożliwia im uruchamianie dowolnych poleceń z uprawnieniami roota na podatnych serwerach pocztowych.
Luka dotyczy wersji Exim poniżej i włącznie z 4.9.2 i została już dawno załatana, jednak okazuje się że istnieje bardzo dużo niezaktualizowanych wersji Exim w sieci.
Dlatego przypominamy:
Jeśli używacie Exima w wersji poniżej 4.9.3 – polecamy wykonać aktualizację.
Informacja: Wszystkie Serwery VPS z oferty Hostingu Dedykowanego oraz Serwery Dedykowane z administracją zostały już dawno załatane.
Jak sprawdzić jaką wersję Exima posiadamy?
1. Możemy sprawdzić w konsoli SSH komendą
[root@srv ~]# exim --version |head -1 Exim version 4.93.0.4 #5 built 12-Jan-2020 17:17:36 2020-05-31 11:37:07 cwd=/root 2 args: exim --version
2. lub w panelu DirectAdmin
http://{nasza-domena}:{port-directadmin}/CMD_SYSTEM_INFO

DirectAdmin
3. lub w nagłówku wiadomości e-mail (pokaż źródło)
Received: from serwer.poczta-polska.pl ([100.100.100.100]) by mojserwer.pl with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.93.0.4)
Aktualizujemy!
Źródło: wired.com
Źródło: computing.co.uk