The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Сети зафиксированы факты активной эксплуатации уязвимой ко..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от opennews (ok) on 29-Июл-13, 23:32 
Центр противодействия угрозам в Интернет уведомил (https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243) пользователей о всплеске атак, направленных на поражение систем, использующих уязвимую конфигурацию связки Exim и Dovecot. Несмотря на то, что информация об уязвимости была опубликована (http://www.opennet.me/opennews/art.shtml?num=36859) в начале мая, спустя три месяца в Сети остаётся достаточное количество уязвимых серверов, представляющих интерес для проведения атак по внедрению бэкдора. После успешной атаки на сервер устанавливается небольшой perl-скрипт /tmp/p.pl, выполняющий функции простого IRC-сервера и обрабатывающий некоторые управляющие команды.


Поражение производится через рассылку писем, эксплуатирующих уязвимость через указание специально оформленного заголовка Return-Path, при обработке которого Exim при обращении к агенту доставки запускает утилиту wget, загружает скрипт и выполняет его. Проблема проявляется в системах, в которых в конфигурации Exim указана опция "use_shell" в блоке подключения Dovecot. При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке. Метод эксплуатации достаточно прост и сводится к манипуляции с экранированием спецсимволов, позволяя в итоге добиться выполнения shell-команд.

URL: https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243
Новость: http://www.opennet.me/opennews/art.shtml?num=37539

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –1 +/
Сообщение от YetAnotherOnanym (ok) on 29-Июл-13, 23:32 
Вроде чисто. Но как это я ту новость от 4 мая упустил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –3 +/
Сообщение от Аноним (??) on 30-Июл-13, 00:52 
сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бага то...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 30-Июл-13, 01:20 
кто ставил? дайте этим балбесам по морде. Не из-за баги выше, конечно, просто экзим гогно в совокупности подобных косяков.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от Вонни on 30-Июл-13, 01:24 
Автор вики мудаг что юзает eval в заголовке письма
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 31-Июл-13, 01:14 
проблема что ему позволили быть мудаком, причём совершенно без каких-либо лишних телодвижений. Это фейл экзима, ибо он почти везде (считай, архитектурно) имеет подобные подьёбки.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от DeadLoco (ok) on 01-Авг-13, 12:32 
Особо одаренные ухитряются порезаться  даже листом бумаги. Даааа, бумага фейл, архитектурный косяк...
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

10. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +2 +/
Сообщение от raven_kg (ok) on 30-Июл-13, 07:42 
Руки надо прямые иметь, а не юзать щель-скрипты хрен пойми через какую задницу прикрученые!
Ну вот я юзаю exim - то есть я по твоей логике автоматически становлюсь балбесом юзающим  "гогно". Рискнешь дать по морде?!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 31-Июл-13, 01:17 
если ты ламо и советуешь из-за своей неграмотности другим юзать экзим, то да, становишься.

> Рискнешь дать по морде?!

думаешь, в этом мероприятии есть риск?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от anonymous (??) on 30-Июл-13, 13:01 
fixed
"сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон какая бугага то..."
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от DeadLoco (ok) on 02-Авг-13, 13:49 
> сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон
> какая бага то...

Да не бага это никакая - попуститесь.
Открываете раздел 29.5 спеков экзима и читаете:

use_shell     Use: pipe     Type: boolean     Default: false

If this option is set, it causes the command to be passed to /bin/sh instead of being run directly from the transport, as described in section 29.3. This is less secure, but is needed in some situations where the command is expected to be run under a shell and cannot easily be modified.

Никто никого не заставляет юзать небезопасный механизм - он создан для совсем уж критических случаев, когда некуда деваться. В норме он использоваться не должен - и не используется.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +1 +/
Сообщение от Аноним (??) on 30-Июл-13, 01:09 
> При использовании опции "use_shell" агент доставки запускается с использованием shell и передачей параметров в командной строке.

Очевидная бага, удивительно что её не заметили при тестировании.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 30-Июл-13, 01:21 
интересно, как? нужно же знать заранее как именно формировать адрес. В этом то и всё блядство шелла.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –1 +/
Сообщение от Аноним (??) on 30-Июл-13, 02:23 
Да какая разница «как»? Очевидно же что интерпретируемые значения нужно экранировать.

  command = /usr/lib/dovecot/deliver -e -k -s \
      -f "$sender_address" -a "$original_local_part@$original_domain"
  use_shell

непонятно как можно так ошибиться...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от Вонни on 30-Июл-13, 02:30 
lua использовать нужно было
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 31-Июл-13, 01:19 
очевидно, что в таком сервисе не должно быть интерпретируемых значений через шел. А ошибиться можно даже и в случае экранирования "", шел много каких гадостей может принести при определённых условиях.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –1 +/
Сообщение от ILYA INDIGO (ok) on 30-Июл-13, 03:55 
postfix+dovecot полёт нормальный.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от robux (ok) on 30-Июл-13, 09:27 
Специально проверял свои конфиги (экзим+довекот) в мае - опция "shell" у меня везде отключена 8-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  –1 +/
Сообщение от Игорь (??) on 31-Июл-13, 09:29 
А как проверить отключена опция или нет?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от robux (ok) on 31-Июл-13, 10:51 
> А как проверить отключена опция или нет?

Строка "use_shell" не должна фигурировать в exim4.conf.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

13. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от Аноним (??) on 30-Июл-13, 17:10 
Показан переход на Zimbra.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от Аноним (??) on 31-Июл-13, 09:48 
Нету у меня
use_shell
в exim.conf

Но баги периодически вылезают.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В Сети зафиксированы факты активной эксплуатации уязвимой ко..."  +/
Сообщение от DeadLoco (ok) on 01-Авг-13, 15:42 
> Но баги периодически вылезают.

Какого рода баги?
У меня в среднем через один экзим прокачивается 10-20к писем в сутки, все работает, как часики, никаких проблем от слова "вообще". Может я что-то делаю не так?


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру