Os desenvolvedores do Exim lançaram correções para três dos zero-days revelados na semana passada através da Iniciativa Zero Day (ZDI) da Trend Micro, um deles permitindo que invasores não autenticados executem código remotamente.
Descoberta por um pesquisador de segurança anônimo, a falha de segurança (
CVE-2023-42115
) é devido a uma fragilidade de Out-of-bounds Write encontrada no serviço SMTP e pode ser explorada por invasores remotos não autenticados para executar código no contexto da conta de serviço.
"A falha específica existe dentro do serviço smtp, que escuta na porta TCP 25 por padrão.
O problema resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma escrita além do final de um buffer", explica o aviso da ZDI.
"Corrigir uma possível escrita OOB no autenticador externo, que pode ser acionada por entrada fornecida externamente", diz a equipe de desenvolvimento do Exim no changelog da versão 4.96.1, lançada hoje.
Hoje, a equipe Exim também corrigiu um bug RCE (
CVE-2023-42114
) e uma vulnerabilidade de divulgação de informações (
CVE-2023-42116
).
Como o desenvolvedor Exim Heiko Schlittermann revelou na lista de discussão Open Source Security (oss-sec) na sexta-feira, as correções de hoje já estavam "disponíveis em um repositório protegido" e "prontas para serem aplicadas pelos mantenedores da distribuição".
A lista de vulnerabilidades de zero-day que ainda precisam ser corrigidas inclui:
CVE-2023-42117
: Vulnerabilidade de Execução Remota de Código da Neutralização inadequada de elementos especiais do Exim (CVSS v3.0 8.1)
CVE-2023-42118
: Vulnerabilidade de Execução Remota de Código de Integer Underflow do libspf2 do Exim (CVSS v3.0 7.5)
CVE-2023-42119
: Vulnerabilidade de divulgação de informações de leitura Out-Of-Bounds dnsdb do Exim (CVSS v3.0 3.1)
Embora classificado com uma pontuação de gravidade de 9.8/10 pela equipe ZDI, o Exim diz que a exploração bem-sucedida do
CVE-2023-42115
- o mais grave dos seis zero-days divulgados pela ZDI na semana passada - depende do uso de autenticação externa nos servidores alvo.
Embora 3.5 milhões de servidores Exim estejam expostos online, de acordo com Shodan, este requisito reduz drasticamente o número de servidores de correio Exim potencialmente vulneráveis a ataques.
Uma análise dos seis zero-days pelo watchTowr Labs confirma a posição do Exim sobre a gravidade destes zero-days, já que eles "exigem um ambiente muito específico para ser acessível."
O watchTowr Labs também forneceu uma lista de todos os requisitos de configuração em servidores Exim vulneráveis necessários para exploração bem-sucedida:
"A maioria de nós não precisa se preocupar.
Se você é um dos azarados que usa um dos recursos listados, você estará ansioso para obter mais informações antes de seguir o conselho do ZDI para 'restringir a interação com o aplicativo'", disse o pesquisador do watchTowr, Aliz Hammond.
"Então, nosso conselho é o usual - aplique as correções quando puder, assim que as correções estiverem disponíveis [..] Mas, enquanto isso, não entre em pânico - isso é mais um problema menor do que uma catástrofe mundial."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...