Phát hiện lỗ hổng ExS TLS giúp tin tặc có thể có quyền truy cập file root của máy chủ email dùng Exim

Một lỗ hổng thực thi mã từ xa quan trọng đã được phát hiện trong phần mềm máy chủ email Exim mã nguồn mở phổ biến, khiến ít nhất hơn nửa triệu máy chủ email dễ bị tin tặc tấn công.

Các nhà bảo trì Exim hôm nay đã phát hành phiên bản Exim 4.92.2 sau khi đưa ra cảnh báo sớm hai ngày trước, giúp các quản trị viên hệ thống phải đối mặt với các bản vá bảo mật sắp tới của mình, ảnh hưởng đến tất cả các phiên bản của phần mềm máy chủ email lên đến và bao gồm cả phiên bản mới nhất 4.92.1.

Exim là phần mềm đại lý chuyển thư nguồn mở (MTA) được sử dụng rộng rãi được phát triển cho các hệ điều hành giống Unix như Linux, Mac OSX hoặc Solaris, hiện đang chạy gần 60% máy chủ email của internet để định tuyến, gửi và nhận email .

Được theo dõi dưới dạng CVE-2019-15846 , lỗ hổng bảo mật chỉ ảnh hưởng đến các máy chủ Exim chấp nhận kết nối TLS, có khả năng cho phép kẻ tấn công truy cập cấp độ gốc vào hệ thống “bằng cách gửi SNI kết thúc theo trình tự dấu gạch chéo ngược trong quá trình bắt tay TLS ban đầu. “

SNI, viết tắt của Tên máy chủ, là một phần mở rộng của giao thức TLS cho phép máy chủ lưu trữ an toàn nhiều chứng chỉ TLS cho nhiều trang web, tất cả dưới một địa chỉ IP.

Theo nhóm Exim, do lỗ hổng không phụ thuộc vào thư viện TLS đang được máy chủ sử dụng, cả GnuTLS và OpenSSL đều bị ảnh hưởng.

Ngoài ra, mặc dù cấu hình mặc định của phần mềm máy chủ thư Exim không được bật TLS, một số hệ điều hành đã đóng gói phần mềm Exim với tính năng dễ bị tấn công theo mặc định.

Lỗ hổng được phát hiện bởi một nhà đóng góp và nhà nghiên cứu bảo mật nguồn mở, người đi theo bí danh trực tuyến Zerons và được phân tích bởi các chuyên gia an ninh mạng tại Qualys.

Chỉ ba tháng trước, Exim cũng đã vá một lỗ hổng thực thi lệnh từ xa nghiêm trọng, được theo dõi là CVE-2019-10149, được các nhóm tin tặc khai thác tích cực trong tự nhiên để xâm nhập các máy chủ dễ bị tấn công.

Tư vấn Exim nói rằng một bằng chứng thô sơ về khái niệm (PoC) tồn tại cho lỗ hổng này, nhưng hiện tại không có khai thác nào được biết đến cho công chúng.

Các quản trị viên máy chủ được khuyến nghị cài đặt phiên bản Exim 4.92.2 mới nhất ngay lập tức và nếu không thể, có thể giảm thiểu sự cố bằng cách không cho phép các máy chủ Exim chưa được chấp nhận chấp nhận kết nối TLS.

Nhóm nghiên cứu cho biết: “Nếu bạn không thể cài đặt các phiên bản trên, hãy hỏi người bảo trì gói của bạn để biết phiên bản có chứa bản sửa lỗi được nhập. Theo yêu cầu và tùy thuộc vào tài nguyên của chúng tôi, chúng tôi sẽ hỗ trợ bạn trong việc cung cấp bản sửa lỗi.”

bình luận

Leave a Comment