Μια επικίνδυνη ευπάθεια zero-day που εντοπίστηκε σε όλες τις εκδόσεις του λογισμικού Exim mail transfer agent (MTA) μπορεί να επιτρέψει σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν απομακρυσμένη πρόσβαση και να εκτελέσουν κακόβουλο κώδικα (RCE) σε servers που είναι συνδεδεμένοι στο διαδίκτυο.
Η ευπάθεια CVE-2023-42115 εντοπίστηκε από έναν ανώνυμο ερευνητή ασφάλειας και αποκαλύφθηκε μέσω του Zero Day Initiative (ZDI) της Trend Micro. Σύμφωνα με τον ερευνητή, οφείλεται σε Out-of-bounds Write weakness που εντοπίστηκε στην υπηρεσία SMTP.
Αυτού του είδους οι ευπάθειες οδηγούν συνήθως σε software crashes ή καταστροφή δεδομένων, αλλά μπορούν, επίσης, να χρησιμοποιηθούν για εκτέλεση κακόβουλου κώδικα σε ευάλωτους servers.
Το ZDI ανέφερε την ευπάθεια στην ομάδα του Exim τον Ιούνιο του 2022 και έστειλε εκ νέου πληροφορίες σχετικά με το σφάλμα το Μάιο του 2023, μετά από αίτημα του προμηθευτή. Ωστόσο, οι προγραμματιστές δεν παρείχαν ενημέρωση σχετικά με την πρόοδό τους πάνω σε ένα patch που θα αντιμετώπιζε τη zero-day ευπάθεια.
Δείτε επίσης: Οι Ιρανοί hackers OilRig χρησιμοποιούν το νέο Menorah malware
Ως αποτέλεσμα, το ZDI κυκλοφόρησε μια έκθεση στις 27 Σεπτεμβρίου, όπου παρέχει λεπτομέρειες για το CVE-2023-42115 zero-day και ένα πλήρες χρονοδιάγραμμα όλων των συνομιλιών με την ομάδα Exim.
Εκατομμύρια servers βρίσκονται σε κίνδυνο
Οι MTA servers, όπως οι Exim, αποτελούν αγαπημένο στόχο των hackers, επειδή είναι συχνά προσβάσιμοι μέσω του Διαδικτύου. Έτσι, οι επιτιθέμενοι τους χρησιμοποιούν ως σημεία εισόδου σε ένα δίκτυο.
Η Υπηρεσία Εθνικής Ασφάλειας (NSA) δήλωσε πριν από τρία χρόνια ότι η ρωσική στρατιωτική ομάδα hacking Sandworm εκμεταλλευόταν το κρίσιμο Exim σφάλμα CVE-2019-10149 τουλάχιστον από τον Αύγουστο του 2019.
Το Exim είναι, επίσης, το προεπιλεγμένο MTA software στις Debian Linux distros και το πιο δημοφιλές λογισμικό MTA στον κόσμο, σύμφωνα με μια έρευνα που δημοσιεύτηκε τον περασμένο μήνα. Σύμφωνα με την έρευνα, το Exim είναι εγκατεστημένο σε περισσότερο από το 56% του συνόλου 602,000 mail servers που είναι προσβάσιμοι στο Διαδίκτυο (λίγο περισσότεροι από 342.000 Exim servers).
Αυτή τη στιγμή, πάνω από 3,5 εκατομμύρια Exim servers εκτίθενται στο διαδίκτυο (σύμφωνα με αναζήτηση Shodan). Οι περισσότεροι από αυτούς βρίσκονται στις Ηνωμένες Πολιτείες, τη Ρωσία και τη Γερμανία.
Προς το παρόν, δεν υπάρχει ενημέρωση κώδικα για την προστασία των ευάλωτων Exim servers. Γι’ αυτό το λόγο, το ZDI προτείνει ως μέτρο προστασίας τον περιορισμό της απομακρυσμένης πρόσβασης από το Διαδίκτυο.
Δείτε επίσης: LostTrust ransomware: Rebrand του MetaEncryptor;
“Δεδομένης της φύσης της ευπάθειας, η μόνη σημαντική στρατηγική μετριασμού είναι ο περιορισμός της αλληλεπίδρασης με την εφαρμογή“, προειδοποίησε το ZDI.
Ιδιωτικές ενημερώσεις κώδικα και άλλα σφάλματα που χρειάζονται διόρθωση
Το ZDI αποκάλυψε και πέντε άλλες Exim zero-day ευπάθειες, οι οποίες δεν είναι τόσο σοβαρές όσο η CVE-2023-42115.
Έχουν εντοπιστεί τρεις ευπάθειες (CVE-2023-42116, CVE-2023-42117, CVE-2023-42118) που επιτρέπουν την εκτέλεση κώδικα απομακρυσμένα και δύο ευπάθειες (CVE-2023-42119, CVE-2023-42114), που επιτρέπουν την αποκάλυψη πληροφοριών.
Ο προγραμματιστής του Exim, Heiko Schlittermann, αποκάλυψε στο Open Source Security (oss-sec) mailing list αργότερα ότι “οι διορθώσεις είναι διαθέσιμες σε ένα προστατευμένο repository” για τα CVE-2023-42114, CVE-2023-42115 και CVE-2023- 42116 και είναι “έτοιμες να εφαρμοστούν από τους distribution maintainers“.
“Για τα υπόλοιπα ζητήματα το ψάχνουμε ή δεν έχουμε ακόμα όλες τις πληροφορίες που χρειαζόμαστε για να τα διορθώσουμε. Είμαστε στην ευχάριστη θέση να παρέχουμε επιδιορθώσεις για όλα τα προβλήματα μόλις λάβουμε λεπτομερείς πληροφορίες“, πρόσθεσε ο Schlittermann.
Ένας εκπρόσωπος του ZDI απάντησε στο νήμα oss-sec λέγοντας ότι τα advisories που δημοσιεύτηκαν αυτές τις ημέρες θα ενημερωθούν και η ετικέτα zero-day θα αφαιρεθεί μόλις η Exim δημοσιεύσει ενημερώσεις κώδικα.
Δείτε επίσης: Amazon: Έστειλε λάθος email για δωροκάρτες Mastercard
“Το ZDI επικοινώνησε πολλές φορές με τους προγραμματιστές σχετικά με πολλαπλές αναφορές σφαλμάτων, με ελάχιστη πρόοδο. Μετά την υπέρβαση του χρονοδιαγράμματος αποκάλυψης, κατά πολλούς μήνες, ειδοποιήσαμε τον maintainer για την πρόθεσή μας να αποκαλύψουμε δημόσια αυτά τα σφάλματα“.
Τα zero-day bugs αποτελούν σημαντική απειλή για την κυβερνοασφάλεια. Αυτά τα σφάλματα είναι ευπάθειες στο λογισμικό που δεν έχουν ακόμη ανιχνευτεί ή διορθωθεί από τους προγραμματιστές. Κατά συνέπεια, οι επιτιθέμενοι μπορούν να τα χρησιμοποιήσουν για να εισβάλουν σε συστήματα, να κλέψουν δεδομένα ή να προκαλέσουν άλλες παραβιάσεις ασφαλείας. Στη συγκεκριμένη περίπτωση του Exim mail transfer agent (MTA), φαίνεται ότι οι προγραμματιστές έχουν ενημερωθεί αλλά δεν έχουν ανταποκριθεί γρήγορα και αποτελεσματικά για την προστασία των Exim servers.
Πηγή: www.bleepingcomputer.com
 μπορεί να επιτρέψει σε){kind=link}