Cuatro vulnerabilidades Zero-Day críticas en todas las versiones del software del agente de transferencia de correo (MTA) de EXIM puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.
Encontrado por un investigador de seguridad anónimo y divulgado a través de la Iniciativa de Día Cero (ZDI) de Trend Micro, la vulnerabilidad más grave (CVE-2023-42115) se debe a una debilidad de escritura fuera de límites encontrada en el servicio SMTP. Si bien este tipo de problema puede provocar fallas de software o corrupción de datos luego de una explotación exitosa, los atacantes también pueden abusar de él para ejecutar código o comandos en servidores vulnerables.
"El fallo específico existe en el servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada", explica un aviso de seguridad de ZDI publicado el miércoles pasado. "El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final del búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio".
Si bien ZDI informó las vulnerabilidades al equipo de Exim en junio de 2022 y envió información sobre las fallas en mayo de 2023, pero los desarrolladores no proporcionaron una actualización sobre el progreso de su parche.
Como resultado, ZDI publicó un aviso el 27 de septiembre, con detalles sobre el día cero CVE-2023-42115 y un cronograma completo de todos los intercambios con el equipo de Exim.
Millones de servidores expuestos a ataques
Los servidores MTA como Exim son objetivos altamente vulnerables, principalmente porque a menudo se puede acceder a ellos a través de Internet, lo que sirve como puntos de entrada fáciles para los atacantes a la red del objetivo.
La Agencia de Seguridad Nacional (NSA) dijo hace tres años, en mayo de 2020, que el famoso grupo de hacking militar ruso Sandworm ha estado explotando la falla crítica CVE-2019-10149 ("The Return of the WIZard") en Exim desde al menos agosto de 2019.
Exim también es el MTA predeterminado en las distribuciones Debian Linux y el software MTA más popular del mundo, según una encuesta de servidores de correo de septiembre de 2023. Según la encuesta, Exim está instalado en más del 56% de un total de 602.000 servidores de correo accesibles en Internet, lo que representa poco más de 342.000 servidores Exim.
Según una búsqueda de Shodan, actualmente hay poco más de 3,5 millones de servidores Exim expuestos online, la mayoría de ellos en Estados Unidos, seguidos de Rusia y Alemania.
ZDI no proporcionó ninguna indicación de que Exim haya publicado parches para cualquiera de las vulnerabilidades, y en el momento en que esta publicación, el sitio web de Exim no menciona ninguna de las vulnerabilidades o parches. En la lista de correo de OSS-Sec del viernes, un miembro del equipo del proyecto Exim dijo que las correcciones para dos de las vulnerabilidades más graves y una tercera, menos grave, están disponibles en un "repositorio protegido y están listas para ser aplicadas por los mantenedores de la distribución".
- CVE-2023-42114 - https://www.zerodayinitiative.com/advisories/ZDI-23-1468/ 3001 fixed
- CVE-2023-42115 - https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 2999 fixed
- CVE-2023-42116 - https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 3000 fixed
- CVE-2023-42117 - https://www.zerodayinitiative.com/advisories/ZDI-23-1471/
- CVE-2023-42118 - https://www.zerodayinitiative.com/advisories/ZDI-23-1472/
- CVE-2023-42119 - https://www.zerodayinitiative.com/advisories/ZDI-23-1473/
"Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación destacada es restringir la interacción con la aplicación", advirtió ZDI. Se recomienda a los administradores restringir el acceso remoto desde Internet para frustrar los intentos de explotación entrantes.
Fuente: BC