Εντοπίστηκε ένα σημαντικό ελάττωμα στο
λογισμικό
του αντιπροσώπου μεταφοράς αλληλογραφίας (MTA) της Exim, το οποίο έχει περάσει χωρίς
ενημέρωση
κώδικα για περισσότερο από ένα χρόνο.
Ερευνητές από το Zero Day Initiative της Trend Micro ενημερώθηκαν από έναν ανώνυμο ερευνητή τον περασμένο Ιούνιο, σχετικά με μια αδυναμία εγγραφής εκτός ορίων που ανακαλύφθηκε στην υπηρεσία SMTP, ανέφερε η BleepingComputer.
Το Exim είναι ένα MTA που εκτελείται στο παρασκήνιο των διακομιστών
email
και οι χάκερ μπορούν να το χρησιμοποιήσουν για να εκτελέσουν κακόβουλο λογισμικό σε ευάλωτα τελικά σημεία.
Χρησιμοποιείται από Ρώσους χάκερ
Αυτή η ευπάθεια παρακολουθείται ως CVE-2023-42115 και μπορεί να χρησιμοποιηθεί για τη συντριβή λογισμικού και την καταστροφή πολύτιμων δεδομένων, αλλά το πιο σημαντικό – μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλου κώδικα σε ευάλωτους διακομιστές.
Η Exim φέρεται να ειδοποιήθηκε για πρώτη φορά για το ελάττωμα τον Ιούνιο του
2022
και στη συνέχεια ξανά τον Μάιο του 2023, αλλά προφανώς χωρίς αποτέλεσμα. Δεδομένης της αποτυχίας της Exim να το αντιμετωπίσει, η Trend Micro Zero Day Initiative δημοσίευσε τώρα μια συμβουλευτική που περιγράφει το ελάττωμα και περιγράφει λεπτομερώς τη συζήτησή της με την Exim κατά τη διάρκεια των μηνών.
Σύμφωνα με
BleepingComputer
, οι διακομιστές MTA όπως ο Exim είναι ένας δημοφιλής στόχος μεταξύ των χάκερ, καθώς μπορούν να προσπελαστούν εξ αποστάσεως και να χρησιμοποιηθούν για τη μετάβαση στο ευρύτερο εταιρικό δίκτυο. Είναι επίσης προφανώς το «πιο δημοφιλές λογισμικό MTA στον κόσμο, εγκατεστημένο σε περισσότερο από το 56% των 602.000 διακομιστών αλληλογραφίας που είναι συνδεδεμένοι στο διαδίκτυο» (342.000). Αυτό οφείλεται κυρίως στο ότι συνοδεύεται από πολλές δημοφιλείς διανομές Linux, όπως το
Debian
και το Red Hat.
Πριν από τρία χρόνια, ο Sandworm (ένας παράγοντας απειλών που χρηματοδοτείται από τη Ρωσία) χρησιμοποιούσε ένα ελάττωμα που βρέθηκε στο Exim για να διεισδύσει στα τελικά σημεία, προειδοποίησε η NSA εκείνη την εποχή.
«Οι Ρώσοι παράγοντες, μέρος του Κύριου Κέντρου Ειδικών Τεχνολογιών (GTsST) του Γενικού Επιτελείου Κεντρικής Διεύθυνσης Πληροφοριών (GRU), έχουν χρησιμοποιήσει αυτό το exploit για να προσθέσουν προνομιούχους χρήστες, να απενεργοποιήσουν τις ρυθμίσεις ασφάλειας δικτύου, να εκτελέσουν πρόσθετα σενάρια για περαιτέρω εκμετάλλευση δικτύου. σχεδόν η ονειρεμένη πρόσβαση οποιουδήποτε εισβολέα – εφόσον αυτό το δίκτυο χρησιμοποιεί μια μη επιδιορθωμένη έκδοση του Exim MTA», ανέφερε η NSA.
Μέσω
BleepingComputer
