Новая RCE-уязвимость опасна для каждого второго сервера e-mail

Эксперты фирмы Qualys, специализирующейся на облачной безопасности, сообщили об обнаружении бреши в защите почтовых серверов, которая делает возможным для хакеров удалённое выполнение команд (Remote Command Execution, RCE) с root-правами.

Эта уязвимость кроется в программе Exim, которая работает на сервере е-mail и перенаправляет электронные письма от отправителя к получателю.

Обзор всех почтовых серверов, видимых в Сети, показал , что по состоянию на июнь 2019 г. 57% из них (507389) используют Exim, однако в других отчётах фигурирует на порядок большая цифра — 5,4 млн. RCE-баг найден в версиях Exim от 4.87 до 4.91.

Qualys утверждает, что эта уязвимость может быть использована мгновенно локальным злоумышленником, имеющим учётную запись на почтовом сервере, хотя бы и с низкими привилегиями. Но реальную опасность представляют удалённые взломщики, сканирующие Интернет в поисках уязвимых серверов.

«Чтобы удаленно использовать эту уязвимость в конфигурации по умолчанию, злоумышленник должен поддерживать соединение с уязвимым сервером открытым в течение 7 дней (передавая один байт каждые несколько минут), — сообщают исследователи. — Однако из-за чрезвычайной сложности кода Exim мы не можем гарантировать, что этот метод единственный; могут существовать более быстрые методы».

По счастливой случайности, в релизе Exim 4.92, вышедшем 10 февраля, эта дыра в защите (CVE-2019-10149) оказалась закрыта (на тот момент разработчики ещё не знали о её существовании. Обнаружена она была при аудите старых версий Exim.

Команда Qualys предупреждает, что данную уязвимость, без сомнения, в ближайшее время начнут использовать хакеры, поэтому рекомендует всем пользователям Exim как можно быстрее перейти на версию 4.92.