Rosyjscy hackerzy i podatność w Exim. Wchodzą jak w masło? Wystarczy wysłać mail.

Podatność w Exim.

Przez ostatnie dni nie tylko na portalach zza oceanu pojawia się wysyp artykułów o podatności w serwerze pocztowym Exim, który aktywnie mają wykorzystywać Rosjanie.

I nie byłoby w tym nic nadzwyczajnego, ot kolejna luka, którą trzeba załatać – gdyby nie fakt że informacje zapoczątkowała Narodowa Agencja Bezpieczeństwa (ang. NSA).

NSA twierdzi, że hakerzy wykorzystują poważną lukę w zabezpieczeniach, indeksowaną jako CVE-2019-10149, w agencie przesyłania poczty Exim (MTA) od co najmniej sierpnia 2019 r.

Aby wykorzystać lukę, hakerzy muszą tylko wysłać specjalnie spreparowaną wiadomość e-mail, która umożliwia im uruchamianie dowolnych poleceń z uprawnieniami roota na podatnych serwerach pocztowych.

Luka dotyczy wersji Exim poniżej i włącznie z 4.9.2 i została już dawno załatana, jednak okazuje się że istnieje bardzo dużo niezaktualizowanych wersji Exim w sieci.

Dlatego przypominamy:

Jeśli używacie Exima w wersji poniżej 4.9.3 – polecamy wykonać aktualizację.

Informacja: Wszystkie Serwery VPS z oferty Hostingu Dedykowanego oraz Serwery Dedykowane z administracją zostały już dawno załatane.

Jak sprawdzić jaką wersję Exima posiadamy?

1. Możemy sprawdzić w konsoli SSH komendą

[root@srv ~]# exim --version |head -1

Exim version 4.93.0.4 #5 built 12-Jan-2020 17:17:36
2020-05-31 11:37:07 cwd=/root 2 args: exim --version

2. lub w panelu DirectAdmin

http://{nasza-domena}:{port-directadmin}/CMD_SYSTEM_INFO

DirectAdmin

3. lub w nagłówku wiadomości e-mail (pokaż źródło)

Received: from serwer.poczta-polska.pl ([100.100.100.100])
    by mojserwer.pl with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    (Exim 4.93.0.4)

Aktualizujemy!

Źródło: wired.com

Źródło: computing.co.uk