百万Exim邮件服务器再爆高危漏洞,易感染Lilocked勒索软件

数以百万计的Exim服务器容易受到安全漏洞的攻击，当被利用时可以使攻击者能够以root权限运行恶意代码。

Exim团队在本周的一份咨询报告中表示，所有运行4.92.1及以前版本的Exim服务器都是易受攻击的。版本4.92.2于9月6日星期五发布，以解决该问题。

这个问题对许多人来说似乎并不重要，但Exim是当今最流行的软件之一。Exim是一个邮件传输代理（MTA），它是在电子邮件服务器后台运行的软件。虽然电子邮件服务器经常发送或接收消息，但它们也充当其他人电子邮件的中继。这是MTA的工作。

根据2019年6月的调查显示，Exim是目前最流行的MTA，市场份额超过57％。它的成功可归因于它与大量的Linux发行版捆绑在一起，从Debian到Red Hat。

但本周五，Exim团队警告其软件中的一个关键漏洞。如果Exim服务器配置为接受传入的TLS连接，则攻击者可以发送附加到SNI数据包末尾的恶意反斜杠空序列，并以root权限运行恶意代码。

7月初，一位名叫Zerons的安全研究人员报告了这个问题，并且Exim团队已经对这个问题进行了最严格的保密。

由于易于利用，根访问授予效果以及大量易受攻击的服务器，因此保密是合理的。

研究由NETSCOUT提供

BinaryEdge搜索列出了运行版本4.92.1及更早版本（易受攻击版本）的520多万台Exim服务器。

 

红数位从威胁英特尔社区的消息来源了解到这个问题没有公共漏洞利用代码，但制作漏洞利用程序相对简单。此外，在野外没有观察到任何主动攻击，但过去24小时内Exim服务器的扫描已经加剧。

服务器所有者可以通过禁用对Exim服务器的TLS支持来缓解此漏洞（跟踪为CVE-2019-15846）。但是，这可能不是一种选择，因为这会以明文形式暴露电子邮件流量，并使其容易受到嗅探攻击和拦截。

对于生活在欧盟的Exim所有者，不建议采取这种缓解措施，因为这可能会使他们的公司面临数据泄漏，以及随后的GDPR罚款。

但是，也有一个问题。默认情况下，Exim安装默认情况下不启用TLS支持。尽管如此，Linux发行版中包含的Exim实例默认情况下启用了TLS。由于大多数服务器管理员使用操作系统映像，并且很少有人手动下载Exim，因此大多数Exim实例很可能容易受到攻击。

此外，附带cPanel（一种流行的Web托管软件）的Exim实例默认也支持TLS。好消息是，cPanel员工迅速将Exim补丁整合到他们开始向客户推出的cPanel更新中。

如果您不知道Exim的服务器TLS状态，那么此时最好的选择是安装Exim补丁，因为这是完全防止任何活动利用的唯一方法。

这是今年夏天修补的第二个主要Exim漏洞。6月，Exim团队修补了CVE-2019-10149，这是一个被称为“ Wizard的回归”的漏洞，它还使攻击者能够在远程Exim服务器上运行具有root权限的恶意代码。

在公开披露后一周内，“Wizard的回归”漏洞得到了积极的利用，有人在三天后制作了一个Azure蠕虫，迫使微软向所有客户发送安全警报。

安全专家表示这一最新的Exim安全漏洞也将被积极利用。

与此同时，俄语论坛上的一个帖子提出了骗子可能针对运行过时的Exim（电子邮件）软件系统的理论。它还提到勒索软件设法通过未知方式获得对服务器的root访问权限。

看来没跑了！！！就是这货！

成千上万的网络服务器已经被感染，并且他们的文件被一种名为Lilocked（或Lilu）的新型勒索软件加密。

红数位了解到，感染自7月中旬以来一直在发生，并在过去两周内愈演愈烈。

根据目前的证据，Lilocked勒索软件似乎只针对基于Linux的系统。

首先报告的日期是7月中旬，一些受害者上传了Lilocked赎金票据/要求ID Ransomware，这是一个用于识别感染受害者系统的勒索软件名称的网站。

  

Lilocked团队破坏服务器并加密其内容的方式目前尚不清楚。俄语论坛上的一个帖子提出了骗子可能针对运行过时的Exim（电子邮件）软件系统的理论。它还提到勒索软件设法通过未知方式获得对服务器的root访问权限。

受此勒索软件攻击的服务器很容易被发现，因为他们的大多数文件都是加密的，并且带有一个新的“.lilocked”文件扩展名 - 见下图。

在勒索软件加密文件的每个文件夹中都有一份赎金记录（名为#README.lilocked）。

用户被重定向到黑暗网络上的门户网站，在那里他们被指示从勒索信息中输入密钥。在这里，Lilocked团伙显示第二个赎金需求，向受害者询问0.03比特币（约325美元）。

Lilocked不加密系统文件，只加密文件扩展的一小部分，如HTML，SHTML，JS，CSS，PHP，INI和各种图像文件格式。

这意味着受感染的服务器继续正常运行。根据法国安全研究员Benkow的说法，Lilocked已经加密了超过6,700台服务器，其中许多服务器已被索引并缓存在Google搜索结果中。

但是，怀疑受害者人数要多得多。并非所有Linux系统都运行Web服务器，还有许多其他受感染的系统尚未在Google搜索结果中编入索引。

因为这个威胁的初始入口点仍然是个谜，所以除了向服务器所有者提供通用安全建议之外，不可能提供任何建议 - 建议他们为所有帐户使用唯一密码，并使应用程序与安全补丁保持同步。

Lilocked团伙没有回复发送到他们在赎金票据中列出的电子邮件地址的评论请求。

---------------------------------

CVE ID：CVE-2019-15846

日期：2019-09-02（CVE指定）

版本：所有版本，包括4.92.1

问题：本地或远程攻击者可以使用root执行程序特权。

条件易受攻击

===========================

如果您的Exim服务器接受TLS连接，则它很容易受到攻击。这样做不依赖于TLS库，因此GnuTLS和OpenSSL都会受到影响。

细节

=======

通过发送以a结尾的SNI可以利用此漏洞初始TLS握手期间的反斜杠空序列。利用作为POC存在。

有关更多详细信息，请参阅源代码中的doc / doc-txt / cve-2019-15846 /

库。

减轻

==========

不提供TLS。（不推荐这种缓解措施。）

对于攻击性TLS客户端，以下ACL代码段应该有效：

    ＃将被添加到您的邮件acl（引用的ACL）

    ＃由acl_smtp_mail主配置选项）

    deny condition = $ {if eq {\} {$ {substr {-1} {1} {$ tls_in_sni}}}}

    deny condition = $ {if eq {\} {$ {substr {-1} {1} {$ tls_in_peerdn}}}}

固定

===

下载并构建固定版本：

    Tarball：https：//ftp.exim.org/pub/exim/exim4/

    Git：https：//github.com/Exim/exim.git

              - 标签exim-4.92.2

              - 分支exim-4.92.2 +修复

标记的提交是正式发布的版本。+修复分支

没有正式维护，但包含安全修复*和*有用修复。

如果您无法安装上述版本，请向您的软件包维护人员咨询

包含backported修复的版本。根据要求，取决于我们的

资源我们会支持你后退修复。（请注意，Exim项目官方不支持当前版本稳定版。）

时间线

--------

2019-07-21  -  Zerons报告给[email protected]

.... -..- ..  -  Qualys的分析

            - 修复和测试

2019-09-02  -  CVE分配

2019-09-03  - 详情请访问[email protected],[email protected]

            - 授予对安全仓库的访问权限

2019-09-04  - 前往[email protected]，exim-users @ exim.org

2019-09-06  -  10.00 UTC协调发布日期

            - 向oss-security，exim-users，公共存储库披露信息

转发是对我们最大的鼓励

                                                                                            点个看吧↓

原文始发于微信公众号（红数位）：百万Exim邮件服务器再爆高危漏洞,易感染Lilocked勒索软件