Uma vulnerabilidade crítica de zero-day em todas as versões do software de agente de transferência de e-mail Exim (MTA) pode permitir que atacantes não autenticados ganhem execução remota de código (RCE) em servidores expostos à Internet.
Descoberto por um pesquisador de segurança anônimo e divulgado por meio da Iniciativa Zero Day da Trend Micro (ZDI), o erro de segurança (
CVE-2023-42115
) se deve a uma fraqueza de gravação fora dos limites encontrada no serviço SMTP.
Embora esse tipo de problema possa levar a falhas de software ou corrupção de dados após uma exploração bem-sucedida, também pode ser abusado por atacantes para executar código ou comandos em servidores vulneráveis.
"A falha específica existe dentro do serviço smtp, que escuta na porta TCP 25 por padrão", explica um aviso de segurança da ZDI publicado na quarta-feira.
"O problema decorre da falta de validação adequada dos dados fornecidos pelo usuário, que pode resultar em uma gravação além do fim de um buffer.
Um invasor pode se aproveitar desta vulnerabilidade para executar código no contexto da conta de serviço."
Embora a ZDI tenha relatado a vulnerabilidade à equipe Exim em junho de 2022 e reenviado informações sobre a falha a pedido do fornecedor em maio de 2023, os desenvolvedores falharam em fornecer uma atualização sobre o progresso de seu patch.
Como resultado, a ZDI publicou um anúncio em 27 de setembro, com detalhes sobre o
CVE-2023-42115
de zero-day e uma linha do tempo completa de todas as interações com a equipe Exim.
Servidores MTA como o Exim são alvos altamente vulneráveis, principalmente porque muitas vezes são acessíveis via Internet, servindo como pontos de entrada fáceis para os atacantes na rede de um alvo.
A Agência de Segurança Nacional (NSA) disse há três anos, em maio de 2020, que o notório grupo de hackers militares russos Sandworm tem explorado a falha crítica
CVE-2019-10149
(O Retorno do Mago) do Exim desde pelo menos agosto de 2019.
O Exim também é o MTA padrão nas distribuições Linux Debian e o software MTA mais popular do mundo, de acordo com uma pesquisa de servidores de email de setembro de 2023.
Segundo a pesquisa, o Exim está instalado em mais de 56% de um total de 602.000 servidores de e-mail acessíveis na Internet, representando pouco mais de 342.000 servidores Exim.
Pouco mais de 3,5 milhões de servidores Exim estão atualmente expostos online por uma pesquisa Shodan, a maioria deles nos Estados Unidos, seguidos pela Rússia e Alemanha.
Embora um patch ainda não esteja disponível para proteger servidores Exim vulneráveis contra possíveis ataques, a ZDI aconselhou os administradores a restringirem o acesso remoto da Internet para evitar tentativas de exploração.
"Dada a natureza da vulnerabilidade, a única estratégia de mitigação relevante é restringir a interação com o aplicativo", alertou a ZDI.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...