Eine kürzlich entdeckte Privilegienseskalations-Sicherheitslücke im Open Source Stalwart Mail Server betrifft alle Versionen bis einschließlich 0.7.3. Die Sicherheitslücke CVE-2024-35187 (CVSS Score 9.1 / 10) ermöglicht es Angreifern, die bereits beliebigen Code als Benutzer des Stalwart-Mail-Servers ausführen können, vollständigen Root-Zugriff auf das System zu erlangen.
Angreifer, die bereits die Fähigkeit zur Ausführung von beliebigem Code als Benutzer des Stalwart-Mail-Servers (einschließlich Web-Interface-Administratoren) erlangt haben, können durch diese Schwachstelle vollständigen Root-Zugriff auf das System erhalten.
Normalerweise werden Systemdienste als separater Benutzer (nicht als Root) ausgeführt, um sicherzustellen, dass ein Angreifer im Falle einer erfolgreichen Attacke auf den aktuellen Dienst isoliert bleibt. Andere Systemdienste und das System selbst bleiben somit geschützt. Der Stalwart-Mail-Server läuft zwar als separater Benutzer, kann sich jedoch auf einfache Weise selbst wieder vollständige Privilegien geben, was diese Schutzmaßnahme praktisch wirkungslos macht.
Tatsächlich ist dieser Vorgang so einfach, dass es sogar eine Web-Admin-GUI dafür gibt:
- Ändern der Konfiguration: Man kann die Konfiguration so ändern, dass der Stalwart-Mail-Server als Root läuft, entweder durch Überschreiben der Datei als lokaler Stalwart-Mail-Benutzer oder über das Netzwerk mithilfe der Admin-Oberfläche (mit Admin-Zugangsdaten).
- Ausführen beliebiger Befehle: Es ist möglich, beliebige Befehle als Root auszuführen, indem man diese als Pipe-Filter konfiguriert und diese Filter auslöst (technisch gesehen nicht Teil der Privilegieneskalation; ungetestet).
Auswirkungen
- Serveradministratoren: Serveradministratoren, die die Admin-Zugangsdaten zum Mail-Server herausgegeben haben, wollten möglicherweise nicht den vollständigen Root-Zugriff auf das System gewähren.
- Angegriffene Benutzer: Jeder angegriffene Benutzer, bei dem Angreifer die Möglichkeit zur Ausführung von beliebigem Code durch eine andere Schwachstelle erlangt haben.
Es wird empfohlen aud die Version 0.8.0 des Stalwart-Mail-Servers zu aktualisieren, um diese kritische Sicherheitslücke zu schließen. Zusätzlich sollten Administratoren sicherstellen, dass nur vertrauenswürdige Benutzer Zugang zu Admin-Zugangsdaten und Konfigurationsdateien haben.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: