CVE-2019-10149漏洞位于/src/deliver.c中的deliver_message（）函數(shù)中，它是由收件人地址驗證不正確引起的。該問題可能導(dǎo)致使用郵件服務(wù)器上的root權(quán)限遠(yuǎn)程執(zhí)行代碼。嚴(yán)重的漏洞會影響Exim郵件傳輸代理（MTA）軟件的4.87到4.91版本，并且未經(jīng)身份驗證的遠(yuǎn)程攻擊者可利用此漏洞在郵件服務(wù)器上執(zhí)行某些非默認(rèn)服務(wù)器配置的任意命令。

    “在這種特殊情況下，RCE表示遠(yuǎn)程*命令*執(zhí)行，而不是遠(yuǎn)程執(zhí)行代碼：攻擊者可以用root用execv（）執(zhí)行任意命令; 不涉及內(nèi)存損壞或ROP（面向返回編程）。“閱讀Qualys發(fā)布的安全公告。“本漏洞可以立即被本地攻擊者（以及某些遠(yuǎn)程攻擊者）利用非默認(rèn) 配置）。”

    CVE-2019-10149的缺陷被稱為“Wizard的回歸”，這是對Sendmail古老的WIZ  和 DEBUG  漏洞的一個參考 。

    在某些非默認(rèn)配置中，本地和遠(yuǎn)程攻擊者很容易利用該漏洞，專家認(rèn)為威脅參與者將開始在野外攻擊中使用它。

    專家解釋說，為了在默認(rèn)配置中遠(yuǎn)程利用此漏洞，攻擊者必須保持與易受攻擊服務(wù)器的連接打開7天。每隔幾分鐘就需要傳輸一個字節(jié)，但是，專家不能保證這種開發(fā)方法是唯一的。

    專家指出，遠(yuǎn)程攻擊者可以輕松利用以下非默認(rèn)Exim配置：

    如果管理員手動刪除了“verify = recipient”ACL（可能是為了防止通過RCPT TO進(jìn)行用戶名枚舉），那么我們的本地開發(fā)方法也可以遠(yuǎn)程工作。

    如果Exim配置為識別收件人地址的本地部分中的標(biāo)簽（例如，通過“local_part_suffix = + *： - *”），則遠(yuǎn)程攻擊者可以簡單地將我們的本地利用方法與RCPT TO“balrog + $ {重用”運(yùn)行{...}} @ localhost“（其中”balrog“是本地用戶的名稱）。

    如果Exim配置為將郵件中繼到遠(yuǎn)程域，作為輔助MX（Mail eXchange），則遠(yuǎn)程攻擊者可以簡單地重用我們的本地利用方法和RCPT TO“${run{...}}@khazad.dum” （其中“khazad.dum”是Exim的relay_to_domains之一）。實際上，“verify = recipient”ACL只能檢查遠(yuǎn)程地址的域部分（@符號后面的部分），而不是本地部分。

    CVE-2019-10149的漏洞在Exim的開發(fā)團(tuán)隊中得到了解決，并在2月份發(fā)布了4.92版本。不幸的是，大量操作系統(tǒng)仍然受到漏洞的影響。

    查詢Shodan的Exim易受攻擊版本，可以在美國找到 4,353,180個安裝大部分（2,462,098）。

       搜索運(yùn)行4.92版本的已修補(bǔ)的Exim安裝，我們可以找到1,071,818個系統(tǒng)。

以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。