Массовое заражение серверов Linux (CVE-2019-10149)

Konstantin
Konstantin Ostrovsky
2019-06-11 09:52:11
28

Exim (v4) - это агент пересылки почты. exim4-config предоставляет инфраструктуру конфигурации для служб exim4. Она была вынесена в отдельный пакет для упрощения замены конфигурационной схемы собственной (без изменения файлов относящихся к основным пакетам exim4).

В случае серверов, которым требуется специальная конфигурация (например, есть много машин с одинаковыми настройками), можно использовать этот пакет для распространения изменённых конфигураций через систему пакетов с помощью механизма dpkg - conffile, которая позволяет избежать внесения дополнительных изменений на каждой машине.

Выявлена критическая уязвимость в почтовом сервере Exim, которая позволяет выполнить код на сервере с правами root.

Данная уязвимость (CVE-2019-10149) https://security-tracker.debian.org/tracker/CVE-2019-10149 может привести к выполнению кода на сервере с правами root, который осуществляется во время обработки специального запроса. Ошибка была найдена в версиях Exim 4.87 до 4.91 (включительно). Неправильная проверка адреса получателя в функции delivery_message () в /src/deliver.c может привести к удаленному выполнению команды.
Узнайте больше о CVE-2019-10149 из словаря MITER CVE и NIST NVD . Эксплуатация данной угрозы возможна в версиях с 4.87 по 4.91 включительно или при сборке с опцией EXPERIMENTAL_EVENT.

Для исправления прошлых версий, применяющихся в дистрибутивах, можно использовать патч, доступный по ссылке: https://git.exim.org/exim.git/commit/d740d2111f189760593a303124ff6b9b1f83453d

Exim широко распространен. На момент публикации результаты поиска Shodan показали, что более 4,1 миллиона систем используют версии Exim, которые считаются уязвимыми (4.87-4.91), а 475 591 - последняя исправленная версия (4.92). Другими словами, почти 90% систем с Exim уязвимы для локальной эксплуатации и потенциально для удаленной эксплуатации в зависимости от конфигурации.


 

Как понять, что сервер взломан?


Проверьте запущенные процессы командой top.
На заражённых серверах наблюдается 100%-я нагрузка, создаваемая процессом [kthrotlds]. Также в планировщике cron добавляется задание с ограничением прав на редактирование.

 

>>>Лечение описано здесь <<<

 

Обновление до безопасной версии

Обновления для пакетов, поставляющих версию 4.92, в которой не проявляется данная проблема, можно найти по ссылкам:

Для Debian: https://security-tracker.debian.org/tracker/CVE-2019-10149

Для Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html

Для OpenSUSE: https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149

Для Arch Linux: https://www.archlinux.org/packages/community/x86_64/exim/

Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4

Данный почтовый сервер является самым распространённым, поэтому, скорее всего, он установлен в вашей системе. На данный момент уже появились вирусы, которые эксплуатируют уязвимость. Советуем осуществить проверку на наличие Exim, а также принять меры по защите от данной уязвимости.

Некоторую информацию о CVE-2019-10149 в дистрибутивах Linux можно найти здесь:

Отслеживание безопасности Debian: CVE-2019-10149
База данных Red Hat CVE: CVE-2019-10149
Ubuntu CVE Tracker: CVE-2019-10149
Gentoo Bugzilla: CVE-2019-10149
Центр безопасности Amazon Linux: ALAS-2019-1221

Источник: Habr

Подробнее об особенностях и принципе действия уязвимости можно прочитать по ссылке: http://www.opennet.ru/opennews/art.shtml?num=50819