Qualys的安全研究人员今天透露，一个关键的远程命令执行(RCE)安全漏洞影响了超过一半的Internet电子邮件服务器。

该漏洞影响Exim，一种邮件传输代理(MTA)，该软件运行在电子邮件服务器上，可以将电子邮件从发件人中继到收件人。

根据2019年6月对互联网上可见的所有邮件服务器的调查，所有电子邮件服务器中有57%(507,389)运行Exim-尽管不同的报告将Exim安装的数量提高了十倍，达到540万。

EXIM远程命令执行

专注于云安全和合规性的网络安全公司Qualys在今天早些时候与ZDNet共享的安全警报中说，它在运行版本4.87至4.91的Exim安装中发现了一个非常危险的漏洞。

该漏洞被描述为远程命令执行-与远程代码执行漏洞不同，但同样危险，该漏洞使本地或远程攻击者以root身份在Exim服务器上运行命令。

Qualys表示，即使使用低特权帐户，存在于电子邮件服务器上的本地攻击者也可以立即利用此漏洞。

但是真正的危险来自远程黑客利用该漏洞，他们可以扫描Internet上容易受到攻击的服务器，并接管系统。

研究人员说：“要以默认配置远程利用此漏洞，攻击者必须保持与易受攻击的服务器的连接打开7天(通过每隔几分钟发送一个字节)。

“但是，由于Exim代码的极端复杂性，我们不能保证这种利用方法是唯一的;可能存在更快的方法。”

此外，Qualys团队表示，当Exim处于某些非默认配置时，在远程方案中也可以进行即时利用。

漏洞被修补...是偶然的

该漏洞已在2019年2月10日发布的Exim 4.92中进行了修补，但在Exim团队发布v4.92时，他们不知道自己已修复一个主要的安全漏洞。

这是Qualys小组在审核较早的Exim版本时才发现的。现在，Qualys研究人员警告Exim用户更新至4.92版本，以避免攻击者接管其服务器。根据2019年6月相同的电子邮件服务器市场份额报告，所有Exim服务器中只有4.34%运行最新的4.92版本。

Qualys 在给Linux发行商维护者的电子邮件中说，该漏洞“容易被利用”，并期望攻击者在未来几天内提出利用代码。

目前已在CVE-2019-10149标识符下跟踪此Exim漏洞，但Qualys 将该漏洞称为 “ 向导的归还 ”，因为该漏洞类似于古老的WIZ和DEBUG漏洞，该漏洞在90年代就影响了Sendmail电子邮件服务器。 。