如何保护我的服务器免受 CVE-2019-10149 - Exim - 已修补或未修补 - 如何拒绝发送给 RCPT ${run 的邮件

这就是我们为尚未更新 exim 的人所做的工作。${run{...}}匹配字符串更具体。这里还有一个脚本，用于在本地检查您的服务器是否易受攻击，exim-cve-2019-10149

如果acl_smtp_rcpt尚未设置为acl_check_rcpt（可能通过MAIN_ACL_CHECK_RCPT），请更改

acl_smtp_rcpt = acl_smtp_rcpt

至

acl_smtp_rcpt = acl_check_rcpt

之后begin acl，或在/etc/exim4/conf.d/acl/30_exim4-config_check_rcpt拆分配置中，添加或修改：

acl_check_rcpt:

  deny
    message = Restricted characters in address
    domains = +local_domains
    local_parts = ^[.] : ^.*[@%!/|] : ^.*\N\${run{\N.*}}

  deny
    message = Restricted characters in address
    domains = !+local_domains
    local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ : ^.*\N\${run{\N.*}}

  accept

快速版本：

为了保护您的服务器免受 CVE-2019-10149“向导返回”漏洞的攻击，无论是在修补或未修补的 Exim 版本上，如果您在基于 Debian 的操作系统上使用 Exim“split-config”，请添加以下行到 /etc/exim4/conf.d/main 文件夹中的 00_local_macros 文件，或该文件在系统上的任何路径：

CHECK_RCPT_LOCAL_LOCALPARTS  = ^[.] : ^.*[\${}@%!/|`#&?] : ^.*/\\.\\./
CHECK_RCPT_REMOTE_LOCALPARTS = ^[.] : ^.*[\${}@%!/|`#&?] : ^.*/\\.\\./

此外，添加以下内容是个好主意：

smtp_banner = $smtp_active_hostname ESMTP $tod_full      

这将更改您的 Exim 服务器问候语以排除它的版本号以及它是 Exim 的事实，因此像https://shodan.io这样的服务扫描程序不会将该信息（一段时间后）显示为表面攻击特定于此漏洞利用的向量（或任何其他基于 Exim 的向量）。

其他系统可能略有不同，但基本上您只是拒绝系统上包含附加字符“$”、“{”和“}”的处方地址。您可以将美元符号添加到指定非法字符的配置中，但我更愿意在发现类似漏洞的情况下更安全，因此我也添加了花括号。

唯一需要注意的是，如果您的本地系统上的地址包含美元符号或大括号，它们将不会收到邮件。但是谁有 $$bling{me}@whatever.com 的地址？它不会阻止向这些地址发送邮件，但是，万一您发送到 my{$$$}@somewhere-else.com

这具有额外的优势，不仅可以拒绝被利用的邮件，而且还可以向有问题的服务器发送关于它的退回消息。

我在这里解释这个主题：

https://www.bleepingcomputer.com/forums/t/699962/mail-remote-code-execution-attempt/#entry4818756

以前在这个蝙蝠频道上---

背景：这是指修补过的 Exim（可能 < 4.92，但可能 > 4.91）。首先，升级您的 Exim、sshd 和真正的整个系统，尽可能合理和安全地升级。

修补后的 4.90_1 版本似乎确实阻止了入侵，因为我没有发现任何已知证据表明我已阅读文章中概述的“巫师归来”Exim 蠕虫。此外，Ubuntu 上的 Exim（我认为其他基于 Debian 的版本）在用户 Debian-exim 下运行，而不是以 root 身份运行，因此这本身可能防止了很多损害。尽管 Debian-exim 用户的妥协可能很糟糕，但它比 root 好得多。无论如何，我没有看到任何成功篡改的迹象。

然而，这仍然令人担忧。我看到的一件事是定期引用我的 Exim 主日志中的冻结消息，其中 RCPT 都以 ${run{ 开头，然后是编码，这将减少到 /bin/bash 和一系列命令，包括可怕的 wget to一些阴暗的端点。

最具体地说，它们似乎都来自 89.248.171.57——一个解析为scanner20.openportstats.com 的IP。如果您看到类似的冻结消息，您可以访问 openportstats.com 并查找您的 IP 以查看您是否在此处列出。该网站看起来有点像 shodan.io 。

问题是，他们是故意这样做的吗？还是他们被感染了？我最初认为是前者，但并不完全确定，因为当我查找我的 IP 时，我认为会提到有关 Exim 漏洞的结果，但只有从初始连接中提取的端口和数据的基本信息。

无论如何，继续前进。

来自 Ubuntu 的关于已修补的 Exim 版本的（相当模糊的）文章是： https ://usn.ubuntu.com/4010-1/

这是一篇更深入的文章，描述了所涉及的一些实际机制： https ://hackernews.blog/exim-4-87/#more

就个人而言，我认为许多消息来源我对此保持沉默，但偏执狂弊大于利，人们！对坏演员来说，这只猫是出类拔萃的。那些试图与之抗争和/或只是保护自己的人需要更多信息。

此修复程序旨在将您的Exim 更新为修补版本。

我不知道这是否会保护未打补丁的版本免受此漏洞利用以及蠕虫的侵害。但这似乎很可能基于我所阅读的内容。如果由于某些疯狂的原因您无法更新您的 Exim，请务必尝试一下，让我们知道它是如何工作的。

我确实认为漏洞存在于路由器中，而不是 ACL 中，但我已经扫描了这么多垃圾，我的记忆现在有点炸了。

我可以说，因为我已经测试过了，这将拒绝任何带有包含美元符号的 RCPT 地址的邮件。这包括 ${run's.

我在这里找到了关于拒绝 ${run's 的长答案。 https://marius.bloggt-in-braunschweig.de

回想起来似乎很明显，但后来我想多了。

这里是：

您可以通过打开一个额外的终端并运行来实时测试以下修复——在你做修复之前——

tail -Fn +0 /var/log/exim4/mainlog | grep "{run"

然后，从本地邮件帐户发送到 ${run{true}}@yourdomain.name

并从远程地址发送到同一地址。

然后进行下面的修复。

注意：将日志路径交换为您的主日志路径（如果不同）。

无论如何，我有 Debian 拆分文件配置，所以我刚刚找到了这些行

 90 .ifndef CHECK_RCPT_LOCAL_LOCALPARTS                                                                                                                                                     
 91 CHECK_RCPT_LOCAL_LOCALPARTS = ^[.] : ^.*[@%!/|`#&?]                                                                                                                                   
 92 .endif                                                                                                                                                                                  
 93                                                                                                                                                                                         
 94 .ifndef CHECK_RCPT_REMOTE_LOCALPARTS                                                                                                                                                    
 95 CHECK_RCPT_REMOTE_LOCALPARTS = ^[./|] : ^.*[@%!`#&?] : ^.*/\\.\\./                                                                                                                    
 96 .endif

并将它们更改为：

 90 .ifndef CHECK_RCPT_LOCAL_LOCALPARTS                                                                                                                                                     
 91 CHECK_RCPT_LOCAL_LOCALPARTS = ^[.] : ^.*[\$@%!/|`#&?]                                                                                                                                   
 92 .endif                                                                                                                                                                                  
 93                                                                                                                                                                                         
 94 .ifndef CHECK_RCPT_REMOTE_LOCALPARTS                                                                                                                                                    
 95 CHECK_RCPT_REMOTE_LOCALPARTS = ^[./|] : ^.*[\$@%!`#&?] : ^.*/\\.\\./                                                                                                                    
 96 .endif

请注意两者中都添加了“\$”。

然后重新启动 Exim。

测试是否成功拒绝，使用相同的方法：

从本地邮件帐户发送到 ${run{true}}@yourdomain.name

并从远程地址发送到同一地址。

如果成功并且通常配置为退回，您应该立即获得第二对发送的退回。

查看您使用日志尾部打开的终端。您应该在第二对上看到拒绝。

关于测试的其他想法

所以基本上这个漏洞只是简单地执行 shell 命令，就像你在终端上一样。您只需将命令发送到/发送到这样的地址： ${run{my_command}}@mytargetdomain.com 。有一个小问题，通常必须对非法字符（对于电子邮件地址）进行编码。你可以这样形成你的脚本，或者你可以在你的 /bin 目录中放置一个脚本来做一些事情，比如——将一个文件保存到你的根目录。

如果您从本地地址发送它并且它出现了，您最好快速修复它，因为这意味着它以 root 身份运行。您也可以尝试相同的方法，但创建一个文件夹，即 /runtest 由您的 Exim 运行的用户拥有（在 Ubuntu 上通常是用户 Debian-exim）。如果它出现了，你仍然处于阴暗的领域，但最糟糕的蠕虫变种似乎需要 root（到目前为止，我已经看到公开，但这可能随时改变）。还是修吧。

如果您想知道我为什么使用 ${run{true}}@mydomain.com，那是因为我希望以一种不会炸毁我的服务器的安全方式来测试拒绝。

如果有人可以详细说明这一点，请，请做。世界需要听到它。

我真的很惊讶，没有一个人窥视，好的，坏的或无动于衷的。

我会定期更新，因为我有时间，信息进来了。