Cyberbezpieczeństwo
Krytyczny błąd w popularnym oprogramowaniu pocztowym – połowa serwerów e-mail na celowniku
Przed kilkoma dniami specjaliści z firmy Qualys informowali o wykryciu nowej, niezwykle niebezpiecznej luki w oprogramowaniu Eximi – popularnym rozwiązaniu typu MTA (Mail Transfer Agent), które działając na serwerach pocztowych odpowiada za przekazywanie wiadomości poczty elektronicznej od nadawców od odbiorców. Na pojawienie się exploita nie musieliśmy długo czekać – z najnowszych danych wynika, że cyberprzestępcy już aktywnie atakują podatne na atak instancje Exima. Problem może dotyczyć ponad połowy wszystkich serwerów pocztowych na świecie.
Błędy znalezione w zabezpieczeniach Exima od wersji 4.87 do 4.91 to luki pozwalające na zdalne, nieautoryzowane uruchomienie komend na zaatakowanej maszynie, co jest równoznaczne z przeprowadzeniem ataku typu RCE – remote command execution. Atak taki może polegać np. na wysłaniu wiadomości e-mail spreparowanej tak, że jej przetworzenie przez oprogramowanie Exim spowoduje uruchomienie odpowiedniej komendy. Oczywiście, atak może zostać również przeprowadzony lokalnie, przez osobę mającą fizyczny dostęp do maszyny.
Sprawa jest o tyle poważna, że Exim jest niezwykle popularnym oprogramowaniem – z ostrożnych szacunków wynika, że jest ono zainstalowane na 57% wszystkich wykorzystywanych na świecie serwerów poczty.
Dobra wiadomość jest taka, że na atak nie jest podatna najnowsza wersja oprogramowania – 9.21. Ale to niewielkie pocieszenie, ponieważ znaczna część użytkowników Exima (ponad 90%) wciąż używa starszych, narażonych wersji. Sprawa jest o tyle poważna, że Exim jest niezwykle popularnym oprogramowaniem – z ostrożnych szacunków wynika, że jest ono zainstalowane na 57% wszystkich wykorzystywanych na świecie serwerów poczty.
Ataki RCE mogą wydawać się mniej niebezpieczne niż ataki pozwalające na zdalne uruchomienie dowolnego kodu – faktem jednak jest, że jeśli napastnik zdoła zmusić oprogramowanie do wykonywania odpowiednio przygotowanych komend, to dość łatwo może uzyskać pełny dostęp do systemu. Praktyka pokazuje, że właśnie z taką sytuacją mamy do czynienia – od kilkudziesięciu godzin zaczęto bowiem odnotowywać masowe, zautomatyzowane ataki na serwery pocztowe. Zgodnie ze scenariuszem zarysowanym przed kilkoma dniami przez specjalistów firmy Qualys polegają one na wysyłaniu do serwera złośliwych wiadomości e-mail, w których nagłówku ukryta jest komenda powodująca pobranie złośliwego skryptu i uruchomienie go na serwerze.
W tej chwili wiadomo, że co najmniej dwie (prawdopodobnie działające niezależnie) grupy przestępcze próbują wykorzystać luki w rozwiązaniu Exim do atakowania serwerów pocztowych. Jednocześnie, część komunikacji podczas ataku odbywa się za pośrednictwem sieci Tor, co powoduje, że specjaliści ds. bezpieczeństwa na razie nie wiedzą, kto dokładnie stoi za atakami. Wiadomo natomiast, że przestępcy starają się działać wielotorowo – efektami ataków jest m.in. instalowanie na serwerach pocztowych robaków oraz koparek kryptowalut.
Obecnie jedynym skutecznym sposobem zabezpieczenia się przed atakiem jest zainstalowanie najnowszej wersji Exima – 4.92. Warto dodać, że z analiz specjalistów firmy Qualsys wynika, iż twórcy aplikacji załatali w tym wydaniu lukę pozwalającą na atak przypadkowo, nie mając pojęcia, że istnieje i jak bardzo może być groźna.
Więcej informacji znaleźć można w oficjalnym raporcie dostępnym na stronie projektu Exim – bezpośredni link do pliku tekstowego.