Update: CVE-2019-15846 –> https://www.ncsc.nl/actueel/nieuws/2019/september/6/kwetsbaarheid-in-exim-gevonden-patchen-nodig

Beveiligingsadvies

Advisory

Ernstige kwetsbaarheid in Exim verholpen

Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De “Signed-PGP” versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).

Publicatie Kans Schade
vandaag
 high
 high
 NCSC-2019-0698 [1.02] Signed-PGP →
Kenmerken
  • (Remote) code execution (Administrator/Root rechten)
Omschrijving De ontwikkelaars van Exim hebben een ernstige kwetsbaarheid verholpen. De kwetsbaarheid bevindt zich in de wijze waarop TLS Handshakes worden verwerkt en is onafhankelijk van de onderliggende TLS/SSL implementatie.
Misbruik van de kwetsbaarheid stelt een ongeauthenticeerde kwaadwillende op afstand in staat om willekeurige code uit te voeren met root/systeemrechten.
Bereik
Platforms Producten Versies
Linux Exim < 4.92.2
Oplossingen Exim heeft updates uitgebracht om de kwetsbaarheid te verhelpen in 4.92.2. Tevens zijn mitigerende maatregelen vrijgegeven. Voor meer informatie, zie [Link]

Exim v 4.92.2 [Link]

Mitigerende maatregelen: * Schakel (tijdelijk) TLS uit. (Wordt niet geadviseerd) * Pas de ACL uit de CVE-tekst toe.

Debian

Debian heeft updates van exim4 beschikbaar gesteld voor Debian 9.0 (Stretch) en Debian 10.0 (Buster) om de kwetsbaarheid te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van ‘apt-get update’ en ‘apt-get upgrade’. Meer informatie kunt u vinden op [Link]

Ubuntu

Canonical heeft updates beschikbaar gesteld voor Ubuntu 16.04 LTS, 18.04 LTS en 19.04 om de kwetsbaarheid te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van ‘apt-get update’ en ‘apt-get upgrade’. Meer informatie kunt u vinden op [Link]
CVE’s CVE-2019-15846
Kans Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.

 high
 ∑ = 31
Is de kwetsbaarheid aanwezig in de standaard configuratie/ installatie? Onduidelijk/Ja 3
Is er exploit-code beschikbaar? Proof of Concept (PoC) 4
Wordt de kwetsbaarheid in de praktijk gebruikt? Nee (nog niet) 1
Zijn er technische details beschikbaar? Beperkt 2
Welke toegang is er nodig? Internet 6
Vereiste credentials Geen 4
Hoe moeilijk is het om de kwetsbaarheid uit te buiten? Gemiddeld 2
Is er gebruikers interactie nodig? Geen handelingen 4
Wordt misbruik of een exploit verwacht? Ja binnenkort 3
Is er een oplossing beschikbaar? Korter dan twee maanden 2
Schade Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.

 high
Denial of Service Nee
 low
Uitvoeren van willekeurige code Ja, Root/Administrator-rechten
 high
Rechten op afstand (remote [root-] shell) Nee
 low
Verwerven lokale admin/root-rechten (privilege escalation) Nee
 low
Lekken van (gevoelige) informatie Nee
 low
vandaag
 high
 high
 NCSC-2019-0698 [1.02] Signed-PGP →
Update Debian en Ubuntu hebben updates uitgebracht om de kwetsbaarheid te verhelpen.
vandaag
 high
 high
 NCSC-2019-0698 [1.01] Signed-PGP →
Update Exim heeft ACL regels vrijgegeven, welke als mitigerende maatregel geïmpelementeerd kunnen worden in de runtime configuration file.

# to be prepended to your mail acl (the ACL referenced # by the acl_smtp_mail main config option) deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}} deny condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}
vandaag
 high
 high
 NCSC-2019-0698 [1.00] Signed-PGP →

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding

Wij verzoeken u om niet ons telefoon nummer te bellen maar een e-mail te sturen via ons contact formulier: https://computerhulp.tech/contact/

Dit om de lijn vrij te houden voor klanten die support nodig hebben.

Gister avond hebben wij (eXtremeHosting)

Een zeer grote databases met actieve e-mail adressen binnen Nederland gevonden waar heel veel spam van komt.
Omdat de lijst zeer actueel is hebben we besloten om een keer een mail te sturen om de gebruiker te waarschuwen.

Hierdoor kan de gebruiker een verwijder verzoek indienen om het spam in de toekomst te verminderen.

Mocht u een e-mail hebben gehad dan kunt u een verwijder verzoek indienen op de website die is meegegeven, het bedrijf is dan verplicht om uw gegevens te verwijderen.
Dit is iets wat wij zelf niet kunnen doen, vandaar dat u de e-mail heeft gehad.

Met vriendelijk groet

eXtremehosting

Informatie voor beheerders.

**Er wordt gesproken over gebruikers in deze posting, hieronder wordt verstaan email gebruikers die zowel klant van eXtremeHosting zijn als dat het niet klanten van eXtremeHosting zijn.**

** Uit veiligheids overwegingen vermelden we in deze post niet welke technieken eXtremeHosting gebruikt voor software en detectie behalve dat noodzakelijk is.**

Op dit moment loopt nog een deel van het onderzoek en zullen er delen missen ter behoeve van het onderzoek die zullen later eventueel worden toegevoegd.

In het afgelopen half jaar hebben wij een toenemende aantal klanten gehad die melding maken van toenemende aantal SPAM.
Na flink wat onderzoek hebben we de bron gevonden, via deze pagina willen we vertellen hoe we het hebben gedetecteerd en wat hoogst waarschijnlijk de oorzaak is

Wij hosten een flink aantal mail adressen een aantal daarvan zijn publiek en een hoop zijn niet publiek.

In ons onderzoek in de antispam server zagen we dat er ook veel spam kwam naar e-mail adressen die nooit gecommuniceerd zijn zowel online als waar nooit mee gemailde is en alleen ontvangend zijn.

In die periode zijn we gaan kijken naar inkomende SMTP connecties en wat precies over de poort gestuurd wordt via deep package inspection.

Daarin zagen we dat er raar verkeer kwam van een dit ip: 185.111.183.2 (AS61053, Lithuania) Register op 2018-07-30 Live gegaan op 2019-07-11
Het verkeer dat we zagen was een vrfy sys command dat een rare terug gaven gaf.

Namelijk een lijst met mail adressen.

De server gaf daarmee een antwoord met mail adressen.
Dit zorgt er voor dat de website bij het ip () een constant up to date live database heeft.
Immers op het moment dat mail adres niet gedetecteerd word wordt deze uit de database gehaald en is deze dus altijd up to date.

Nu zijn we gaan onderzoeken hoe het automatisch doorlopen verloopt en daarbij is ons een patroon opgevallen, Adress book scanning, website scanning, dictionary scanning, SMTP scanning

De eerste drie van deze zijn bekende acties om random mails te sturen, bijvoorbeeld support, info, admin, postadmin, etc.

Echter de laatste is opvallend, door specifieke vragen te stellen aan de SMTP server krijgt deze antwoord om een lijst met mail adressen te geven, dit in combinatie met het automatisch checken of een mailbox bestaat maakt deze database zeer gevaarlijk voor gebruikers.
We zijn op die beurt gaan kijken naar hoe deze tool misbruikt kan worden en komen op een mogelijke tool die gebruikt wordt (Dit is nog onduidelijk en een verwachting aan de hand van commando`s die wij langs zien komen) is smtp-user-enum tool.

Deze tool wordt gebruikt om smtp servers te pentesten en te kijken of mail adressen zichtbaar gemaakt kan worden.
De tool zelf wordt al tijden door pentesters gebruikt worden, echter is het de eerste keer dat de tool met automatisering wordt gebruikt in combinatie met een nmap op zoon grote schaal.

Dit is zover wij hebben kunnen zien aan de technische kant maar moesten alsnog bevestigen of de database echt verkocht wordt en er dus criminele activiteit bestaat.
Om dit te testen wordt er naar gekeken en klopt het inderdaad met onze theorie dat alle adressen die verhoogd spam binnen krijgen in de database staan.

De volgende stap die we moesten doen is het bepalen hoe we het beste een server die in het buiteland staat niet benaderd kan worden en hoogst waarschijnlijk niet zou houden aan de wet offline kunnen halen.

Wetgeving in Nederland verbied dat wij namens anderen een bericht sturen om de persoon van een lijst af te halen.
Dit dient de persoon zelf te doen ook mogen wij niet andere behalve de gebruiker informeren en dient deze zelf zijn/haar ict afdeling te waarschuwen., Wat wetgeving ons wel toestaat is de gebruiker te laten weten dat er iets is en dat deze een verwijder verzoek kan sturen en vervolgens een klacht bij de instanties een klacht in dienen dat zijn of haar gegevens op deze agressieve manier is misbruikt door .

Er zijn nog wat onduidelijkheden wat ze precies voor code hebben draaien om dit te doen maar het ziet er steeds meer uit naar een xploit die wij nog niet hebben kunnen bevestigen.

Zodra we meer informatie kunnen delen zullen we dat doen.

** Dit document is voorbehouden aan fouten/taal fouten, er is tevens nog verder onderzoek wat op dit moment wordt gedaan. **