ISC: Зафиксированы атаки с использованием связки Exim и Dovecot

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 30 июл 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Злоумышленники активно эксплуатируют уязвимость в связке Exim и Dovecot, несмотря на выход исправления еще в мае этого года.

    Эксперты Центра противодействия угрозам в Сети (Internet Storm Center, ISC) зафиксировали рост количества атак, совершенных посредством использования уязвимой конфигурации приложений Exim и Dovecot.

    По окончанию атаки на сервер устанавливается perl-скрипт /tmp/p.pl, который на подобие IRC-серверов обрабатывает определенные управляющие команды.

    В случае использования Exim в качестве почтового сервера, его можно настроить на перенаправление сообщений во внешнюю программу с целью расширить возможности фильтрации и доставки email. Обычная конфигурация содержит агент по доставке писем Dovecot, который поддерживает работу серверов pop3 и imap.

    Инфицирование сервера происходит посредством рассылки спам-писем. Они эксплуатируют уязвимость через заголовок Return-Path, обрабатывая который Exim запускает утилиту wget, загружает скрипт и запускает его.

    Примером проведенной атаки можно назвать следующее. Так, в случае указания злоумышленником:

    Exim выполнит:

    Это, в свою очередь, приведет к запуску wget, загрузке внешнего скрипта c сайта example.com/test.sh и его выполнению.

    Примечательно, что информация о брешах была опубликована еще в мае текущего года, однако до сих пор остается огромное количество уязвимых серверов.

    Пользователям связки Exim и Dovecot следует проверить настройки на предмет отсутствия опции «use_shell», с помощоью которой Dovecot передает параметры в командную строку. Благодаря этому злоумышленники могут выполнять системные команды.




    источник
     
    3 пользователям это понравилось.

Поделиться этой страницей