Taggat med: Exim

Scanning Made Easy från NCSC

National Cyber Security Centre (NCSC)

Scanning Made Easy är ett nytt initiativ från brittiska säkerhetscentret National Cyber Security Centre (NCSC). Projektet går ut på att tillhandahålla Nmap-script (så kallade NSE:er) för att söka efter sårbarheter. Projektet uppstod eftersom det ofta finns en frustation när nya sårbarheter släpps och det som oftast finns kod för att utnyttja sårbarheterna men inte att söka efter sårbara system. För detta är en viktig del för de personer som vill snabbt identifiera sårbara IT-system inom sina nätverk. Givetvis kan också illasinnade aktörer använda dessa script.

Det finns redan en nu en mall publicerad som man bör följa om man vill publicera egna script samt så finns det ett script för att söka efter Exim-sårbarheterna 21Nails från 2021-05-04. (CVE-2020-28017 till CVE-2020-28026).

Skärmdump på hur det kan se ut när scriptet hittar ett sårbart system:

Kommandoraden för att använda NSE-scriptet och scanna är följande:

nmap --script smtp-vuln-cve2020-28017-through-28026-21nails.nse -p 25,465,587 1.2.3.4

Och scriptet kan du wgetta/curla hem här: https://github.com/nccgroup/nmap-nse-vulnerability-scripts/blob/master/smtp-vuln-cve2020-28017-through-28026-21nails.nse

Oklart dock var framtida script kommer att läggas: Om det är på NCC Groups github-repo eller NCSC.

Qualys identifierar 21 sårbarheter i Exim

Det amerikanska cybersäkerhetsföretaget Qualys har identifierat 21 st sårbarheter i mail-servermjukvaran Exim. Tre av dessa 21 sårbarheter lyckades Qualys utnyttja som RCE:er (Remote Code Execution). Vilket är synnerligen allvarligt. Rekommenderat är att uppgradera till senaste versionen av Exim som i skrivande stund är 4.94.2.

RCE-sårbarheterna medger att en antagonist kan erhålla rättigheter över nätverket som exim-användaren. Det är inte heller första gången som Qualys hittar RCE:er i Exim. För 2019 så hittade man även ”return of the Wizard RCE”. En sårbarhet som utnyttjas av ryska hackergrupperingen Sandworm.

Tittar vi på en sökning med Shodan.io så hittar vi ca 1.7 miljoner sårbara installationer varav ca 7000 är i Sverige (länk).

Sårbarheterna är enligt följande:

- CVE-2020-28007: Link attack in Exim's log directory
- CVE-2020-28008: Assorted attacks in Exim's spool directory
- CVE-2020-28014: Arbitrary file creation and clobbering
- CVE-2021-27216: Arbitrary file deletion
- CVE-2020-28011: Heap buffer overflow in queue_run()
- CVE-2020-28010: Heap out-of-bounds write in main()
- CVE-2020-28013: Heap buffer overflow in parse_fix_phrase()
- CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase()
- CVE-2020-28015: New-line injection into spool header file (local)
- CVE-2020-28012: Missing close-on-exec flag for privileged pipe
- CVE-2020-28009: Integer overflow in get_stdinput()
Remote vulnerabilities
- CVE-2020-28017: Integer overflow in receive_add_recipient()
- CVE-2020-28020: Integer overflow in receive_msg()
- CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
- CVE-2020-28021: New-line injection into spool header file (remote)
- CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
- CVE-2020-28026: Line truncation and injection in spool_read_header()
- CVE-2020-28019: Failure to reset function pointer after BDAT error
- CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
- CVE-2020-28018: Use-after-free in tls-openssl.c
- CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()

Du kan läsa advisoryn från Qualys i sin helhet här: