Критическая уязвимость "нулевого дня" во всех версиях почтового агента (MTA) Exim может позволить неавторизованным злоумышленникам получить возможность удаленного выполнения кода (RCE) на серверах, подверженных атакам через Интернет.
Обнаруженная анонимным исследователем безопасности и раскрытая в рамках инициативы Trend Micro Zero Day Initiative (ZDI), ошибка безопасности (CVE-2023-42115) связана со слабым местом Out-of-bounds Write, обнаруженным в службе SMTP.
Подобные проблемы могут приводить к сбоям в работе программного обеспечения или повреждению данных после успешной эксплуатации, но также могут быть использованы злоумышленниками для выполнения кода или команд на уязвимых серверах.
"Конкретный дефект существует в службе smtp, которая по умолчанию прослушивает TCP-порт 25", - говорится в опубликованном в среду сообщении ZDI о безопасности.
"Проблема возникает из-за отсутствия надлежащей проверки данных, предоставляемых пользователем, что может привести к записи за пределы буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте служебной учетной записи".
Хотя компания ZDI сообщила об уязвимости команде Exim в июне 2022 года и повторно отправила информацию о дефекте по запросу производителя в мае 2023 года, разработчики не предоставили обновленной информации о ходе исправления.
В результате 27 сентября компания ZDI опубликовала бюллетень, содержащий подробную информацию о "нулевом дне" CVE-2023-42115 и полную хронологию всех обменов с командой Exim.
Миллионы серверов подвержены атакам
MTA-серверы, подобные Exim, являются весьма уязвимыми объектами, прежде всего потому, что они часто доступны через Интернет и служат легкой точкой входа злоумышленников в сеть объекта атаки.
Агентство национальной безопасности США (АНБ) еще три года назад, в мае 2020 года, сообщило, что печально известная российская военная хакерская группа Sandworm эксплуатирует критический дефект CVE-2019-10149 (The Return of the WIZard) Exim как минимум с августа 2019 года.
Exim также является MTA по умолчанию в дистрибутивах Debian Linux и самым популярным в мире программным обеспечением MTA, согласно опросу почтовых серверов, проведенному в начале сентября 2023 года.
По данным исследования, Exim установлен более чем на 56% из 602 000 почтовых серверов, доступных в Интернете, что составляет чуть более 342 000 серверов Exim.
По данным поиска Shodan, в настоящее время в Интернете открыто чуть более 3,5 млн. серверов Exim, большинство из которых находятся в США, затем в России и Германии.
Несмотря на отсутствие исправления, защищающего уязвимые серверы Exim от возможных атак, ZDI советует администраторам ограничить удаленный доступ из Интернета, чтобы блокировать входящие попытки атак.
"Учитывая характер уязвимости, единственной очевидной стратегией борьбы с ней является ограничение взаимодействия с приложением", - предупреждают в ZDI.
Специальные патчи и другие ошибки, ожидающие исправления
На этой неделе ZDI также объявила еще о пяти "нулевых днях" в Exim, обозначенных как уязвимости низкой, высокой и средней степени серьезности:
- CVE-2023-42116: Exim SMTP Challenge Stack-Based Buffer Overflow Remote Code Execution Vulnerability (CVSS v3.0 8.1)
- CVE-2023-42117: Exim Improper Neutralisation of Custom Elements Remote Code Execution Vulnerability (CVSS v3.0 8.1)
- CVE-2023-42118: Exim libspf2 Integer Downstream Уязвимость удаленного выполнения кода (CVSS v3.0 7.5)
- CVE-2023-42119: Уязвимость раскрытия информации при чтении Exim dnsdb за пределами границ (CVSS v3.0 3.1)
- CVE-2023-42114: Уязвимость раскрытия информации при чтении Exim NTLM Challenge Out-Of-Bounds (CVSS v3.0 3.7)
После публикации этой статьи разработчик Exim Хейко Шлиттерманн сообщил в списке рассылки Open Source Security (oss-sec), что "исправления для CVE-2023-42114, CVE-2023-42115 и CVE-2023-42116 доступны в защищенном репозитории" и "готовы к применению сопровождающими дистрибутива".
"Остальные проблемы являются спорными или не содержат информации, необходимой нам для их устранения. Мы будем рады предоставить исправления для всех проблем, как только получим подробную информацию", - добавил Шлиттерманн.
Представитель ZDI ответил в ветке oss-sec, что опубликованные на этой неделе рекомендации будут обновлены, а метка "нулевого дня" снята, как только Exim опубликует исправления.
"ZDI неоднократно обращалась к разработчикам по поводу многочисленных сообщений об ошибках, но прогресс был незначительным. После того как сроки раскрытия информации были превышены на много месяцев, мы уведомили разработчика о своем намерении публично раскрыть информацию об этих ошибках, на что нам было сказано: "Делайте, что делаете", - заявил представитель ZDI.
"Если эти ошибки будут должным образом устранены, мы обновим наши рекомендации, указав ссылку на рекомендацию по безопасности, контрольную проверку кода или другую публичную документацию, закрывающую эту проблему."
Обновление: Добавлена информация о других пяти дефектах Exim, раскрытых ZDI, и о частных исправлениях Exim.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!