Οι προγραμματιστές του Exim κυκλοφόρησαν ενημερώσεις κώδικα για τρεις από τις μηδενικές ημέρες που αποκαλύφθηκαν την περασμένη εβδομάδα μέσω του Zero Day Initiative (ZDI) της Trend Micro, μία από αυτές που επιτρέπει στους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα.
Ανακαλύφθηκε από έναν ανώνυμο ερευνητή ασφάλειας, το ελάττωμα ασφαλείας (CVE-
2023
-42115) οφείλεται σε
Εκτός ορίων Γράψτε
αδυναμία που εντοπίζεται στην υπηρεσία SMTP και μπορεί να χρησιμοποιηθεί από απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας για την εκτέλεση κώδικα στο πλαίσιο του λογαριασμού υπηρεσίας.
“Το συγκεκριμένο ελάττωμα υπάρχει στην υπηρεσία smtp, η οποία ακούει στη θύρα TCP 25 από προεπιλογή. Το πρόβλημα προκύπτει από την έλλειψη σωστής επικύρωσης των δεδομένων που παρέχονται από τον χρήστη, η οποία μπορεί να οδηγήσει σε εγγραφή μετά το τέλος ενός buffer”, συμβουλεύει η ZDI εξηγεί.
“Διορθώστε μια πιθανή εγγραφή OOB στον εξωτερικό έλεγχο ταυτότητας, η οποία θα μπορούσε να ενεργοποιηθεί από εξωτερικά παρεχόμενη είσοδο”, λέει η ομάδα ανάπτυξης Exim στο
changelog
της έκδοσης 4.96.1,
κυκλοφόρησε σήμερα
.
Σήμερα, η ομάδα της Exim επιδιορθώνει επίσης ένα σφάλμα RCE (CVE-2023-42114) και μια ευπάθεια αποκάλυψης πληροφοριών (CVE-2023-42116).
Ως προγραμματιστής της Exim Heiko Schlittermann
αποκάλυψε
στη λίστα αλληλογραφίας Open Source Security (oss-sec) την Παρασκευή, οι σημερινές διορθώσεις ήταν ήδη “διαθέσιμες σε προστατευμένο αποθετήριο” και “έτοιμες για
εφαρμογή
από τους συντηρητές διανομής”.
Η λίστα των τρωτών σημείων
zero-day
που μένει να επιδιορθωθεί περιλαμβάνει:
Όχι “μια κατασ
τροφή
που τελειώνει τον κόσμο”
Αν και έχει επισημανθεί με βαθμολογία σοβαρότητας 9,8/10 από την ομάδα ZDI, η Exim λέει ότι η επιτυχής εκμετάλλευση του CVE-2023-42115 – η πιο σοβαρή από τις έξι μηδενικές ημέρες που αποκαλύφθηκαν από την ZDI την περασμένη εβδομάδα – εξαρτάται από τη χρήση εξωτερικού ελέγχου ταυτότητας σε τους στοχευμένους διακομιστές.
Παρόλο που 3,5 εκατομμύρια διακομιστές Exim εκτίθενται στο διαδίκτυο, σύμφωνα με
Shodan
αυτή η απαίτηση μειώνει δραστικά τον αριθμό των διακομιστών αλληλογραφίας Exim που είναι δυνητικά ευάλωτοι σε επιθέσεις.
Ενα
ανάλυση των έξι μηδενικών ημερών
από την watchTowr Labs επιβεβαιώνει την άποψη της Exim για τη σοβαρότητα αυτών των μηδενικών ημερών καθώς «απαιτούν ένα πολύ συγκεκριμένο περιβάλλον για να είναι προσβάσιμο».
Το watchTowr Labs παρείχε επίσης μια λίστα με όλες τις απαιτήσεις διαμόρφωσης σε ευάλωτους διακομιστές Exim που απαιτούνται για επιτυχή εκμετάλλευση:
|
CVE |
CVSS |
Απαιτήσεις |
|
CVE-2023-42115 |
9.8 |
Το σχήμα “εξωτερικού” ελέγχου ταυτότητας έχει διαμορφωθεί και είναι διαθέσιμο |
|
CVE-2023-42116 |
8.1 |
Η μονάδα “SPA” (χρησιμοποιείται για NTLM auth) έχει διαμορφωθεί και είναι διαθέσιμη |
|
CVE-2023-42117 |
8.1 |
Exim Proxy (διαφορετικό από έναν διακομιστή μεσολάβησης SOCKS ή HTTP) σε χρήση με μη αξιόπιστο διακομιστή μεσολάβησης |
|
CVE-2023-42118 |
7.5 |
Συνθήκη “SPF” που χρησιμοποιείται σε ACL |
|
CVE-2023-42114 |
3.7 |
Μονάδα “SPA” (χρησιμοποιείται για έλεγχο ταυτότητας NTLM) που έχει ρυθμιστεί για την εξουσιοδότηση του διακομιστή Exim σε έναν διακομιστή ανόδου |
|
CVE-2023-42119 |
3.1 |
Ένα μη αξιόπιστο πρόγραμμα επίλυσης DNS |
“Οι περισσότεροι από εμάς δεν χρειάζεται να ανησυχούμε. Εάν είστε ένας από τους άτυχους που χρησιμοποιεί ένα από τα αναφερόμενα χαρακτηριστικά, θα είστε πρόθυμοι να λάβετε περισσότερες πληροφορίες πριν αναλάβετε τις συμβουλές της ZDI για “περιορισμό της αλληλεπίδρασης με την εφαρμογή” », δήλωσε η ερευνήτρια του watchTowr, Aliz Hammond.
«Λοιπόν, η συμβουλή μας είναι η συνηθισμένη – επιδιορθώστε όταν μπορείτε, μόλις είναι διαθέσιμα τα patches [..] Αλλά εν τω μεταξύ, μην πανικοβληθείτε – αυτό είναι περισσότερο ένα υγρό σκουπίδι παρά μια καταστροφή που θα τελειώσει τον κόσμο».
