Половину почтовых серверов в мире можно взломать без логина и пароля

Сотни тысяч почтовых серверов в мире подвержены уязвимости, позволяющей злоумышленникам запускать на них произвольный код до авторизации. Уязвимость затрагивает все версии Exim, агента пересылки сообщений.

Взлом без авторизации

Тайваньский эксперт по безопасности Ме Чан (Meh Chang) выявил опасную уязвимость в агенте пересылки сообщений Exim, который широко используется на серверах электронной почты. Уязвимость позволяет удаленный запуск произвольного кода на сервере еще до того, как он запросит у пользователя авторизацию.

Уязвимость CVE-2018-6789 была выявлена еще в феврале 2018 г. Функция декодирования строки base64 содержит ошибку переполнения буфера, благодаря чему можно вынудить сервер запустить любой код.

5 февраля Чан уведомил разработчиков Exim о существовании проблемы. Те моментально признали ее наличие и уже 10 февраля выпустили новую версию Exim 4.90.1, устраняющую проблему.Спустя без малого месяц Чан опубликовал обширное техническое описание самой уязвимости и того, как ее можно эксплуатировать.

Эксплуатировать уязвимость непросто

Реально работающего эксплойта для описанной уязвимости пока не создано. Разработчики Exim уверены, что реализовать атаку будет довольно сложно. Они, впрочем, указывают также, что никаких обходных путей для исправления проблемы не существует — только обновление Exim до последней версии.

Во всех версиях почтового агента Exim найдена «дыра», позволяющая запускать произвольный код без авторизации

На сегодняшний день более 56% почтовых серверов в мире используют Exim. Обновленная версия активно распространяется с дистрибутивами Linux, используемыми в дата-центрах, но это не значит, что установка новой версии на активные почтовые адреса не займет длительного времени.

«Обновление почтовых серверов до безопасной версии Exim может занять недели и месяцы, — полагает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Возможно, эксплуатировать эту уязвимость и непросто, однако появления рабочего эксплойта исключать не стоит. А учитывая, что под угрозой — вообще все почтовые серверы, использующие Exim, версии которого старше 4.90.1, «поверхность атаки» получится огромной. Владельцам почтовых серверов стоит обновить соответствующее ПО как можно скорее».