Μια κρίσιμη ευπάθεια zero-day σε όλες τις εκδόσεις του λογισμικού Exim mail transfer agent (MTA) μπορεί να επιτρέψει σε μη επιβεβαιωμένους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) σε διακομιστές που εκτίθενται στο Διαδίκτυο.
Το σφάλμα ασφαλείας (CVE-2023-42115) που βρέθηκε από έναν ανώνυμο ερευνητή ασφάλειας και αποκαλύφθηκε μέσω του Zero Day Initiative της Trend Micro (ZDI), οφείλεται σε
Εκτός ορίων Γράψτε
αδυναμία που εντοπίστηκε στην υπηρεσία SMTP.
Αν και αυτό το είδος ζητήματος μπορεί να οδηγήσει σε σφάλματα λογισμικού ή κατασ
τροφή
δεδομένων μετά από επιτυχή εκμετάλλευση, μπορεί επίσης να γίνει κατάχρηση από εισβολείς για εκτέλεση κώδικα ή εντολών σε ευάλωτους διακομιστές.
“Το συγκεκριμένο ελάττωμα υπάρχει στην υπηρεσία smtp, η οποία ακούει στη θύρα TCP 25 από προεπιλογή,” ένα
Συμβουλευτική για την ασφάλεια ZDI
που δημοσιεύτηκε την Τετάρτη εξηγεί.
“Το ζήτημα προκύπτει από την έλλειψη κατάλληλης επικύρωσης των δεδομένων που παρέχονται από τον χρήστη, η οποία μπορεί να οδηγήσει σε εγγραφή μετά το τέλος ενός buffer. Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει κώδικα στο πλαίσιο του λογαριασμού υπηρεσίας.”
Ενώ η ZDI ανέφερε την ευπάθεια στην ομάδα της Exim τον Ιούνιο του
2022
και έστειλε εκ νέου πληροφορίες σχετικά με το ελάττωμα κατόπιν αιτήματος του προμηθευτή τον Μάιο του 2023, οι προγραμματιστές απέτυχαν να παράσχουν
ενημέρωση
σχετικά με την πρόοδο της ενημέρωσης κώδικα.
Ως αποτέλεσμα, η ZDI δημοσίευσε μια συμβουλευτική στις 27 Σεπτεμβρίου, με λεπτομέρειες για το CVE-2023-42115 zero-day και ένα πλήρες χρονοδιάγραμμα όλων των ανταλλαγών με την ομάδα Exim.
Εκατομμύρια διακομιστές εκτίθενται σε επιθέσεις
Οι διακομιστές MTA όπως ο Exim είναι εξαιρετικά ευάλωτοι στόχοι, κυρίως επειδή είναι συχνά προσβάσιμοι μέσω του Διαδικτύου, χρησιμεύοντας ως εύκολα σημεία εισόδου για τους εισβολείς στο δίκτυο ενός στόχου.
Η Υπηρεσία Εθνικής Ασφάλειας (NSA) δήλωσε πριν από τρία χρόνια, τον Μάιο του 2020, ότι η διαβόητη ρωσική στρατιωτική ομάδα
hacking
Sandworm εκμεταλλεύεται το κρίσιμο ελάττωμα CVE-2019-10149 (The Return of the WIZard) Exim τουλάχιστον από τον Αύγουστο του 2019.
Το Exim είναι επίσης το προεπιλεγμένο MTA στις διανομές του Debian Linux και το πιο δημοφιλές λογισμικό MTA στον κόσμο, σύμφωνα με
έρευνα διακομιστή αλληλογραφίας
από τον Σεπτέμβριο του 2023.
Σύμφωνα με την έρευνα, το Exim είναι εγκατεστημένο σε περισσότερο από το 56% επί συνόλου 602.000 διακομιστών αλληλογραφίας που είναι προσβάσιμοι στο Διαδίκτυο, που αντιπροσωπεύουν λίγο περισσότερους από 342.000 διακομιστές Exim.
Μόλις πάνω από 3,5 εκατομμύρια διακομιστές Exim εκτίθενται επί του παρόντος στο διαδίκτυο ανά α
Αναζήτηση Shodan
οι περισσότεροι από αυτούς στις Ηνωμένες Πολιτείες και ακολουθούν η Ρωσία και η Γερμανία.
Ευάλωτοι διακομιστές Exim (Shodan)
Ενώ δεν είναι ακόμη διαθέσιμη μια ενημέρωση κώδικα για την ασφάλεια των ευάλωτων διακομιστών Exim από πιθανές επιθέσεις, η ZDI συμβούλεψε τους διαχειριστές να περιορίσουν την απομακρυσμένη πρόσβαση από το Διαδίκτυο για να αποτρέψουν τις εισερχόμενες απόπειρες εκμετάλλευσης.
“Δεδομένης της φύσης της ευπάθειας, η μόνη σημαντική στρατηγική μετριασμού είναι ο περιορισμός της αλληλεπίδρασης με την εφαρμογή,” ZDI
προειδοποίησε
.