Milhões de servidores de correio Exim expostos a ataques zero-day RCE
10 de Outubro de 2023

Uma vulnerabilidade crítica de zero-day em todas as versões do software de agente de transferência de e-mail Exim (MTA) pode permitir que atacantes não autenticados ganhem execução remota de código (RCE) em servidores expostos à Internet.

Descoberto por um pesquisador de segurança anônimo e divulgado por meio da Iniciativa Zero Day da Trend Micro (ZDI), o erro de segurança ( CVE-2023-42115 ) se deve a uma fraqueza de gravação fora dos limites encontrada no serviço SMTP.

Embora esse tipo de problema possa levar a falhas de software ou corrupção de dados após uma exploração bem-sucedida, também pode ser abusado por atacantes para executar código ou comandos em servidores vulneráveis.

"A falha específica existe dentro do serviço smtp, que escuta na porta TCP 25 por padrão", explica um aviso de segurança da ZDI publicado na quarta-feira.

"O problema decorre da falta de validação adequada dos dados fornecidos pelo usuário, que pode resultar em uma gravação além do fim de um buffer.

Um invasor pode se aproveitar desta vulnerabilidade para executar código no contexto da conta de serviço."

Embora a ZDI tenha relatado a vulnerabilidade à equipe Exim em junho de 2022 e reenviado informações sobre a falha a pedido do fornecedor em maio de 2023, os desenvolvedores falharam em fornecer uma atualização sobre o progresso de seu patch.

Como resultado, a ZDI publicou um anúncio em 27 de setembro, com detalhes sobre o CVE-2023-42115 de zero-day e uma linha do tempo completa de todas as interações com a equipe Exim.

Servidores MTA como o Exim são alvos altamente vulneráveis, principalmente porque muitas vezes são acessíveis via Internet, servindo como pontos de entrada fáceis para os atacantes na rede de um alvo.

A Agência de Segurança Nacional (NSA) disse há três anos, em maio de 2020, que o notório grupo de hackers militares russos Sandworm tem explorado a falha crítica CVE-2019-10149 (O Retorno do Mago) do Exim desde pelo menos agosto de 2019.

O Exim também é o MTA padrão nas distribuições Linux Debian e o software MTA mais popular do mundo, de acordo com uma pesquisa de servidores de email de setembro de 2023.

Segundo a pesquisa, o Exim está instalado em mais de 56% de um total de 602.000 servidores de e-mail acessíveis na Internet, representando pouco mais de 342.000 servidores Exim.

Pouco mais de 3,5 milhões de servidores Exim estão atualmente expostos online por uma pesquisa Shodan, a maioria deles nos Estados Unidos, seguidos pela Rússia e Alemanha.

Embora um patch ainda não esteja disponível para proteger servidores Exim vulneráveis ​​contra possíveis ataques, a ZDI aconselhou os administradores a restringirem o acesso remoto da Internet para evitar tentativas de exploração.

"Dada a natureza da vulnerabilidade, a única estratégia de mitigação relevante é restringir a interação com o aplicativo", alertou a ZDI.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...