Думали, qmail — эталон безопасности? ИИ смог получить RCE одним запросом
NewsMakerНейросеть самостоятельно подготовила рабочий способ атаки на сервер без участия человека.
Иногда для взлома сервера хватает не команды, а одной фразы. Специалисты показали , как система на базе искусственного интеллекта за полтора часа нашла уязвимость в почтовом сервере и сразу же подготовила рабочий способ атаки.
Задание выглядело предельно просто: проверить последнюю версию проекта qmail от sagredo на уязвимости с возможностью удалённо выполнить код. Через 101 минуту система уже развернула тестовую среду, проанализировала код, нашла проблему, написала рабочий эксплойт , предложила исправление и собрала подробный технический отчёт. Человек к процессу не подключался.
Речь идёт о модифицированной версии qmail, популярного почтового сервера, который в 1995 году создал Дэниел Бернстайн. Проект долго считали образцом безопасной архитектуры. Разработчик даже назначил награду за найденные уязвимости, и в течение многих лет никто не мог её получить. Однако с конца 90-х оригинальный код почти не обновлялся, а сообщество постепенно добавляло новые функции через сторонние патчи.
Со временем таких изменений накопились десятки. Современные сборки, включая версию от Роберто Пуззангерры, включают поддержку шифрования, авторизации и других необходимых функций. Проблема в том, что безопасность оригинального qmail не распространяется на сторонние доработки. Именно в одном из таких дополнений и обнаружилась уязвимость. Речь о функции notlshosts_auto, добавленной в октябре 2024 года. Механизм должен запоминать серверы с некорректно настроенным шифрованием, чтобы не пытаться каждый раз устанавливать защищённое соединение.
Иногда для взлома сервера хватает не команды, а одной фразы. Специалисты показали , как система на базе искусственного интеллекта за полтора часа нашла уязвимость в почтовом сервере и сразу же подготовила рабочий способ атаки.
Задание выглядело предельно просто: проверить последнюю версию проекта qmail от sagredo на уязвимости с возможностью удалённо выполнить код. Через 101 минуту система уже развернула тестовую среду, проанализировала код, нашла проблему, написала рабочий эксплойт , предложила исправление и собрала подробный технический отчёт. Человек к процессу не подключался.
Речь идёт о модифицированной версии qmail, популярного почтового сервера, который в 1995 году создал Дэниел Бернстайн. Проект долго считали образцом безопасной архитектуры. Разработчик даже назначил награду за найденные уязвимости, и в течение многих лет никто не мог её получить. Однако с конца 90-х оригинальный код почти не обновлялся, а сообщество постепенно добавляло новые функции через сторонние патчи.
Со временем таких изменений накопились десятки. Современные сборки, включая версию от Роберто Пуззангерры, включают поддержку шифрования, авторизации и других необходимых функций. Проблема в том, что безопасность оригинального qmail не распространяется на сторонние доработки. Именно в одном из таких дополнений и обнаружилась уязвимость. Речь о функции notlshosts_auto, добавленной в октябре 2024 года. Механизм должен запоминать серверы с некорректно настроенным шифрованием, чтобы не пытаться каждый раз устанавливать защищённое соединение.