Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Думали, qmail — эталон безопасности? ИИ смог получить RCE одним запросом

leer en español

Qmail Claude Calif ИИ взлом
Думали, qmail — эталон безопасности? ИИ смог получить RCE одним запросом
Qmail Claude Calif ИИ взлом

Нейросеть самостоятельно подготовила рабочий способ атаки на сервер без участия человека.

image

Иногда для взлома сервера хватает не команды, а одной фразы. Специалисты показали, как система на базе искусственного интеллекта за полтора часа нашла уязвимость в почтовом сервере и сразу же подготовила рабочий способ атаки.

Задание выглядело предельно просто: проверить последнюю версию проекта qmail от sagredo на уязвимости с возможностью удалённо выполнить код. Через 101 минуту система уже развернула тестовую среду, проанализировала код, нашла проблему, написала рабочий эксплойт, предложила исправление и собрала подробный технический отчёт. Человек к процессу не подключался.

Речь идёт о модифицированной версии qmail, популярного почтового сервера, который в 1995 году создал Дэниел Бернстайн. Проект долго считали образцом безопасной архитектуры. Разработчик даже назначил награду за найденные уязвимости, и в течение многих лет никто не мог её получить. Однако с конца 90-х оригинальный код почти не обновлялся, а сообщество постепенно добавляло новые функции через сторонние патчи.

Со временем таких изменений накопились десятки. Современные сборки, включая версию от Роберто Пуззангерры, включают поддержку шифрования, авторизации и других необходимых функций. Проблема в том, что безопасность оригинального qmail не распространяется на сторонние доработки. Именно в одном из таких дополнений и обнаружилась уязвимость. Речь о функции notlshosts_auto, добавленной в октябре 2024 года. Механизм должен запоминать серверы с некорректно настроенным шифрованием, чтобы не пытаться каждый раз устанавливать защищённое соединение.

Ошибка оказалась банальной, но опасной. Код формировал команду оболочки с именем удалённого сервера и запускал её через popen(). Имя заключали в одинарные кавычки, рассчитывая защититься от подстановок. Защита ломалась, если в имени встречалась такая же кавычка. Формально в обычных именах хостов такие символы запрещены. Но в системе доменных имён ограничения мягче: отдельные метки могут содержать почти любые байты. Злоумышленник может зарегистрировать домен с «нестандартным» именем, настроить почтовые записи и спровоцировать сервер-жертву на соединение.

Дальше цепочка проста. Почтовый сервер пытается доставить письмо, сталкивается с ошибкой шифрования и вызывает уязвимую функцию. В этот момент встроенная команда уже не только создаёт файл, но и выполняет произвольный код, подставленный в имя домена. В демонстрации система выполнила команду id и записала результат в файл.

Уязвимость получила идентификатор CVE-2026-41113. Роберто Пуззангерра закрыл проблему в апреле 2026 года, обновление уже доступно. Владельцам серверов с включённой функцией notlshosts_auto стоит как можно быстрее установить исправление.

История показательная не из-за самой ошибки. Подобные инъекции находили и раньше. Новое здесь – скорость и автономность. То, на что раньше уходили дни или недели ручного анализа, теперь занимает чуть больше часа и не требует участия человека. Фактически тот же инструмент, который помогает искать ошибки в собственном коде, способен делать то же самое в руках атакующих. И чем быстрее такие проверки станут стандартной практикой, тем меньше шансов, что уязвимость найдёт кто-то другой первым.