Exim RCE漏洞影响数百万服务器 已有黑客发动攻击程式

全球将近六成服务器使用的邮件服务器元件Exim再传重大漏洞，可让黑客以最高许可权执行任意指令，而在发现一周后，研究人员已经发现至少二个团体已经发动攻击，其中Linux服务器使用者尤为重点目标。

Exim是开源邮件传输代理程式（Mail Tansfer Agent，MTA），广泛用于全球邮件服务器上。根据统计目前全球有大约57%，超过50万台邮件服务器使用Exim，甚至有人估计高达370万台。使用广泛的Exim在2017年底及去年三月也先后成为黑客下手目标。

安全厂商Qualys上周警告Exim存在编号CVE-2019-10149的远端指令执行（Remote Command Execution，RCE）漏洞。该漏洞让攻击者可以execv（）函式以根许可权执行指令，无需引发内存毁损或ROP（Return-Oriented Programming），进而接管受害服务器。

本地端攻击者或是在特定非预设组态下的远端攻击者可轻松开采这项漏洞。远端攻击者则需要连续和目标服务器保持7天连线，并以每几分钟1 byte的速度传输进行攻击。但研究人员提醒，有鉴于Exim程式码的复杂性，可能出现更快的攻击方法。

本漏洞的CVSS v3.0版风险分数为9.8分，被列为重大风险。受影响版本包括4.87到4.91版的Exim。Exim管理组织也呼吁使用者应升级到最新版本4.92版。

而在一周后，已经有安全研究人员发现网络上有攻击程式。首先，独立安全研究者Freddie Leeman发现针对CVE-2019-10149而来的第一个攻击程式，出自一台位在** http://173.212.214.137/s**的遭感染的主机。

本周安全厂商又发现另一桩攻击行动。Cyren研究人员Magni Sigurðsson及安全厂商Cyberreason分别发现，黑客传送一个包含Envelope-From（532.MailFrom）程式码的邮件、下载shell script目的在使用Exim服务器上的私有金钥，借此开启外部对这台Exim服务器的SSH连线，进而下载后门程式。Cyberreason研究人员Amit Serper并发现，第二波攻击是一个自我繁殖的蠕虫，在远端执行指令完成后就启动传输埠扫描，寻找其他感染目标，之后它会移除Exim服务器上的挖矿程式及任何防护工具，再安装自己的挖矿程式。

第二波攻击目标包括几乎所有版本的Linux服务器。Red Hat Enterprise Linux、Debian、openSUSE、Ubuntu也都各自发布紧急安全公告，呼吁使用者尽速升级到Exim 4.92版。

资料来源：iThome Security