QAX-A-Team的安全研究人员发现了一个涉及消息传输代理Exim的漏洞,估计该漏洞运行着所有电子邮件服务器的约57%。 利用漏洞分配给CVE-2019-16928,可能会导致威胁参与者能够发起拒绝服务(DoS)或远程代码执行(RCE)攻击。
此漏洞是string_vformat(string.c)中基于堆的溢出错误的结果。 根据Exim的忠告,攻击者可以通过“非常长的扩展HELO(EHLO)字符串”来利用此漏洞,该漏洞旨在使负责接收消息的进程崩溃。 Exim编码员杰里米·哈里斯(Jeremy Harris)将该漏洞称为“简单编码错误”,该错误是由于字符串增长不足而导致的,他发布了概念证明,展示了如何利用该漏洞的示例。
Exim还指出,可能还有其他利用漏洞代码的方法。 Exim的错误跟踪器上的帖子显示,也有可能进行RCE攻击。
过去几个月,其他两个Exim漏洞也成为头条新闻。 6月,发现威胁行为者通过Watchbog木马使用Exim攻击服务器,而9月又发现了另一个可能导致RCE攻击的漏洞(CVE-2019-15846)。
[阅读:Watchbog利用Jira和Exim漏洞交付加密货币矿工]
CVE-2019-16928与Exim 4.92一起引入,并且还影响版本4.92、4.92.1和4.92.2。 早于4.92的版本不受此错误的影响。
建议Exim用户更新至最新版本(4.92.3),其中包括针对CVE-2019-16928的修复程序。
安全建议和趋势科技解决方案
软件漏洞是常见的(不幸的是不可避免的)情况。 组织应始终优先考虑将其软件修补到最新版本,尤其是如果该更新解决的关键漏洞(如果被利用,则可能导致业务实际受损)的优先级。 在这种情况下,CVE-2019-16928已经具有修复该漏洞的补丁,而Exim甚至为无法安装新版本的组织提供了向后移植的修复程序。 鉴于Exim的无处不在,如果不修补易受攻击的实例,可能会导致后果超出组织本身。
此外,组织可以使用趋势科技™Deep Discovery™解决方案等安全产品来增强整体安全性,该产品提供检测,深入分析以及对通过专用引擎,自定义沙箱和漏洞利用漏洞进行攻击的主动响应。 在整个攻击生命周期中实现无缝关联,即使没有任何引擎或病毒码更新,它也可以检测到这些攻击。
趋势科技深度威胁发现设备可通过以下规则保护客户免受利用CVE-2019-16928的攻击: 规则ID 4246:可能的CVE-2019-16928-Exim缓冲区溢出漏洞-SMTP(请求)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
