PERINGATAN – Bug Exim 21Nails Baru Memperlihatkan Jutaan Server Email ke Peretasan

  • Whatsapp
PERINGATAN - Bug Exim 21Nails Baru Memperlihatkan Jutaan Server Email ke Peretasan

Para pengelola Exim punya patch yang dirilis untuk memulihkan sebanyak 21 kerentanan keamanan dalam perangkat lunaknya yang dapat memungkinkan penyerang yang tidak berkepentingan mencapai eksekusi kode jarak jauh lengkap dan mendapatkan hak akses root.

Dinamakan secara kolektif 21 Kuku, ‘kekurangannya termasuk 11 kerentanan yang memerlukan akses lokal ke server dan 10 kelemahan lain yang dapat dieksploitasi dari jarak jauh. Masalah tersebut ditemukan oleh Qualys dan dilaporkan ke Exim pada 20 Oktober 2020.

Bacaan Lainnya

“Beberapa kerentanan dapat dirangkai bersama untuk mendapatkan eksekusi kode yang tidak terautentikasi dari jarak jauh dan mendapatkan hak akses root pada Server Exim,” kata Bharat Jogi, manajer senior di Qualys, dalam pengungkapan publik. “Sebagian besar kerentanan yang ditemukan oleh Tim Riset Qualys misalnya CVE-2020-28017 memengaruhi semua versi Exim sejak tahun 2004.”

auditor kata sandi

Exim adalah agen transfer surat (MTA) populer yang digunakan pada sistem operasi mirip Unix, dengan lebih dari 60% dari server email yang dapat dijangkau publik di Internet yang menjalankan perangkat lunak. Pencarian Shodan mengungkapkan hampir empat juta server Exim yang diekspos secara online.

Ringkasan singkat dari 21 bug tercantum di bawah ini. Jika berhasil dieksploitasi, mereka dapat digunakan untuk mengubah pengaturan email dan bahkan menambahkan akun baru di server email yang disusupi. Spesifikasi teknis tentang kekurangan dapat diakses sini.

Kerentanan lokal:

  • CVE-2020-28007: Serangan tautan di direktori log Exim
  • CVE-2020-28008: Berbagai macam serangan di direktori spool Exim
  • CVE-2020-28014: Pembuatan dan pemogokan file sewenang-wenang
  • CVE-2021-27216: Penghapusan file sewenang-wenang
  • CVE-2020-28011: Heap buffer overflow di queue_run ()
  • CVE-2020-28010: Penulisan heap di luar batas di main ()
  • CVE-2020-28013: Heap buffer overflow di parse_fix_phrase ()
  • CVE-2020-28016: Penulisan heap di luar batas dalam parse_fix_phrase ()
  • CVE-2020-28015: Injeksi baris baru ke dalam file header spool (lokal)
  • CVE-2020-28012: Bendera close-on-exec untuk pipa dengan hak istimewa tidak ada
  • CVE-2020-28009: Integer overflow di get_stdinput ()

Kerentanan jarak jauh:

  • CVE-2020-28017: Integer overflow di accept_add_recipient ()
  • CVE-2020-28020: Integer overflow di accept_msg ()
  • CVE-2020-28023: Bacaan di luar batas di smtp_setup_msg ()
  • CVE-2020-28021: Injeksi baris baru ke file header spool (jarak jauh)
  • CVE-2020-28022: Baca dan tulis tumpukan di luar batas di extract_option ()
  • CVE-2020-28026: Pemotongan garis dan injeksi di spool_read_header ()
  • CVE-2020-28019: Kegagalan untuk mengatur ulang penunjuk fungsi setelah kesalahan BDAT
  • CVE-2020-28024: Kurangnya aliran buffer heap di smtp_ungetc ()
  • CVE-2020-28018: Gunakan setelah gratis di tls-openssl.c
  • CVE-2020-28025: Heap di luar batas yang dibaca di pdkim_finish_bodyhash ()

Mengingat peretasan server Microsoft Exchange baru-baru ini, patch harus segera diterapkan, karena server email telah muncul sebagai target yang menguntungkan untuk kampanye spionase. Di masa lalu, kelemahan dalam perangkat lunak Exim telah dieksploitasi secara aktif oleh aktor jahat untuk melakukan berbagai serangan, termasuk Worm Linux untuk menginstal penambang cryptocurrency di server yang terpengaruh.

Mei lalu, Badan Keamanan Nasional AS (NSA) memperingatkan bahwa operasi militer Rusia, yang secara publik dikenal sebagai Tim Sandworm, memanfaatkan kerentanan eksekusi kode jarak jauh yang dilacak sebagai CVE-2019-10149 (alias Kembalinya Penyihir) untuk “menambahkan pengguna yang memiliki hak istimewa, menonaktifkan pengaturan keamanan jaringan, menjalankan skrip tambahan untuk eksploitasi jaringan lebih lanjut” setidaknya sejak Agustus 2019.

NSA dipanggil itu adalah “akses impian penyerang.”

“Agen Transfer Surat adalah target yang menarik bagi penyerang karena mereka biasanya dapat diakses melalui internet,” kata Jogi. “Setelah dieksploitasi, mereka dapat mengubah setelan email sensitif di server email, memungkinkan musuh membuat akun baru di server email target.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *