Qualche giorno fa Debian ha rilasciato un aggiornamento per exim4 che risolve una serie di vulnerabilità estremamente pericolose.
Come sovente accade in questi casi, risulta evidente che una discreta quantità di amministratori ritiene gli aggiornamenti del sistema operativo una operazione opzionale, poichè in questi giorni è evidente un fiorire di mail di phishing aventi envelope sender come…
debian-exim@sj3d55.svwh.net
debian-exim@front2.imind.hu
debian-exim@mailer4xp.com.br
debian-exim@vps02.davepusey-itservices.co.uk
debian-exim@www.securityfail.com
debian-exim@icedtea.classpath.org
debian-exim@immediamkt.it
…e ovviamente molti altri.
No comment.
Piuttosto: per rimanere in tema con il topic, nelle ultime ore si riporta un massiccio avvistamento di open-relay come non se ne vedevano da tempo. Non si tratta di nuove installazioni, bensì di mailserver operanti da tempo che di punto in bianco hanno iniziato a comportarsi come degli open-relay.
La prima cosa che è venuta alla mente di praticamente tutti è che si trattasse di macchine Exim4 afflitte dalle vulnerabilità succitate e che fossero state compromesse in altro modo rispetto a quello qui sopra: dato che la vulnerabilità consente il remote exploitation a root (!!!), nulla di più facile…
In realtà dal feedback ricevuto dagli amministratori dei sistemi in questione appare trattarsi perlopiù di sistemi MS Exchange 2010…
Resta ancora da capire se si tratti di qualche curiosa interazione tra software (es: AV “agganciato” ad Exchange), di un trojan/worm in grado di riconfigurare il mailserver per farlo divenire open-relay (ma non sarebbe molto chiaro perchè dovrebbero farlo…) o se si tratti di un qualche aggiornamento da parte di MS andato disastrosamente male…
Buone feste, eh.. 😛
Skull's blog 