В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot

Центр противодействия угрозам в Интернет уведомил пользователей о всплеске атак, направленных на поражение систем, использующих уязвимую конфигурацию связки Exim и Dovecot. Несмотря на то, что информация об уязвимости была опубликована в начале мая, спустя три месяца в Сети остаётся достаточное количество уязвимых серверов, представляющих интерес для проведения атак по внедрению бэкдора. После успешной атаки на сервер устанавливается небольшой perl-скрипт /tmp/p.pl, выполняющий функции простого IRC-сервера и обрабатывающий некоторые управляющие команды.

Поражение производится через рассылку писем, эксплуатирующих уязвимость через указание специально оформленного заголовка Return-Path, при обработке которого Exim при обращении к агенту доставки запускает утилиту wget, загружает скрипт и выполняет его. Проблема проявляется в системах, в которых в конфигурации Exim указана опция "use_shell" в блоке подключения Dovecot. При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке. Метод эксплуатации достаточно прост и сводится к манипуляции с экранированием спецсимволов, позволяя в итоге добиться выполнения shell-команд.




Вас также может заинтересовать:

Установка связки Centos + OpenVZ + httpd
Вышла новая версия POP3 и IMAP4 сервера Dovecot 2.0.16
Уязвимости в ядре Linux, TYPO3, Dovecot, ownCloud и Cacti
Exim exploit [censored]!!!
Критическая уязвимость в почтовом сервере Exim
Релиз почтового сервера Exim 4.73 с устранением уязвимостей