Специалисты по информационной безопасности компании BI.ZONE раскрыли подробности критической уязвимости в почтовом сервере Exim — одном из самых распространенных почтовых агентов в мире. Брешь позволяет злоумышленнику выполнять произвольный код на удаленной машине без какой-либо авторизации, фактически получая полный контроль над сервером одним письмом.
По международной шкале опасности CVSS уязвимость получила оценку 9,8 балла из 10 — это один из высших показателей, которые присваиваются только по-настоящему угрожающим безопасностипроблемам. Для сравнения оценка 10,0 означает абсолютно тривиальную в эксплуатации и максимально разрушительную угрозу. Найденная уязвимость вплотную приближается к этой планке.
Кто под угрозой
Exim — не экзотическое программное обеспечение. Это один из самых популярных почтовых агентов в мире, который используют хостинг-провайдеры, университеты и институты, корпоративные почтовые системы малого и среднего бизнеса. По данным поискового сервиса Shodan, отслеживающего открытые устройства и серверы в сети, Exim установлен примерно на 3,5 млн серверов глобально.
В российском сегменте интернета ситуация особенно тревожная, ведь под угрозой находятся до 20 тысяч серверов. Это означает, что десятки тысяч организаций от небольших интернет-магазинов до государственных структур могут быть уязвимы для атаки.
Как именно запускается атака
Механизм взлома обманчиво прост. Злоумышленник отправляет специально сформированное письмо с модифицированными заголовками, которое эксплуатирует ошибку в обработке SMTP-команд — стандартного протокола передачи электронной почты. Уязвимый сервер, получив такое сообщение, начинает выполнять встроенные в него команды операционной системы.
При этом атака не требует никаких учетных данных, социальной инженерии или предварительного доступа — достаточно знать адрес сервера и отправить письмо. Команды выполняются с правами почтового сервера.
После успешного взлома атакующий получает сразу несколько инструментов для нанесения ущерба: полный доступ к переписке всех пользователей сервера, возможность рассылать письма от имени организации, а также плацдарм для атак на внутреннюю инфраструктуру — серверы, базы данных и другие системы в той же сети.
Классические схемы становятся неотличимы от реальных
Именно последний пункт (рассылка писем от имени легитимных организаций) представляет особую социальную угрозу. Компрометация почтовых серверов выводит на новый уровень давно известные мошеннические схемы, в том числе печально знаменитую «это ты на фото?».
Раньше такие письма приходили с подозрительных адресов вроде sberbank-security@mail.ru или gosuslugi-support@yandex.com и внимательный пользователь мог их распознать. Теперь картина меняется: письмо приходит напрямую с @sberbank.ru, @gosuslugi.ru или @wildberries.ru. Технические системы проверки подлинности — SPF, DKIM, DMARC — не поднимают тревогу, потому что письмо действительно отправлено с сервера этой организации, просто под чужим управлением.
Пользователь видит знакомый адрес, значок верификации — и с куда большей вероятностью переходит по вредоносной ссылке, вводит данные карты или скачивает вложение. Психологический барьер, который раньше удерживал часть жертв, фактически снят.
Что делать прямо сейчас
Разработчики Exim уже выпустили патч, закрывающий уязвимость. Однако обновление серверов — процесс небыстрый: системные администраторы должны протестировать изменения, согласовать технологическое окно и провести обновление без остановки почтового сервиса. В этом промежутке серверы остаются уязвимы.
Эксперты рекомендуют действовать в два этапа. Первый и приоритетный — установить патч как можно скорее, не откладывая на плановое обслуживание. Второй, как временная мера до обновления, — усилить мониторинг подозрительной активности на почтовом сервере и ограничить к нему доступ извне на уровне сетевых экранов, разрешив подключения только с доверенных адресов.
Рядовым пользователям, в свою очередь, стоит в ближайшие недели проявлять повышенную осторожность даже к письмам с известных адресов, особенно если в них содержатся срочные просьбы перейти по ссылке, подтвердить данные или открыть вложение.
Ранее мы писали о том, что в России появилась мошенническая схема с «резервным фондом».