漏洞预警|Exim高危远程命令执行漏洞

事件背景

近日，HSCERT监测发现，知名的邮件传输代理程序 Exim 被发现存在远程命令执行漏洞，漏洞编号是 CVE-2019-10149，此漏洞相关 PoC 代码已被公开。

通过ZoomEye发现， Exim 在互联网上的使用量巨大。

漏洞描述

六月初，国外安全研究人员向 Exim 官方提交了漏洞报告，此报告中涉及到了一个远程任意命令执行漏洞，成功利用此漏洞的攻击者，可以 Root 权限在 Exim 服务器上执行任意命令。此漏洞 PoC代码已被公开。

此漏洞成因是 deliver_message 函数在处理收件人地址时未进行严格的有效过滤，从而导致远程任意命令执行。

此漏洞的利用分为本地利用与远程利用两种情况：

1.本地利用

攻击者获取了在 Exim 服务器上的低权限代码执行或低权限命令权限后，利用此已公开的PoC 代码可实现权限提升（以 Root 用户身份执行任意命令）

2.远程利用

根据漏洞发现者公开的分析报告，此漏洞的远程利用分为两种情况：

a).当目标 Exim 使用的是默认配置时

已公开的 PoC 无法用于直接远程攻击采用默认配置的 Exim 服务器。但是，漏洞发现者公布了一个可行的攻击思路，此攻击思路需要耗时 7天才能奏效。不过漏洞发现者提示可能有更快的方法。

b).当目标 Exim 使用的不是默认配置时

当目标 Exim 服务器启用了以下非默认配置时，可直接使用 PoC 对目标服务器发起远程攻击，以 Root 身份在目标服务器上执行任意命令：

§  管理员删除了 Exim 配置文件中的 “verify = recipient”

§  Exim 被配置为识别邮件收件人用户名（@ 前的字符）中的 tags

§  Exim 被配置为 relay mail server

漏洞危害

高危

影响版本

Exim Version >= 4.87 且 Exim Version <= 

来源：CVE-2019-10149