Критична вразливість нульового дня у всіх версіях програмного забезпечення агента пересилки повідомлень (mail transfer agent, MTA) Exim може дозволити неавтентифікованим зловмисникам отримати віддалене виконання коду (RCE) на серверах, відкритих для Інтернету. Про це повідомляє Bleeping Computer.
Помилка безпеки (CVE-2023-42115), виявлена анонімним дослідником безпеки й оприлюднена через Zero Day Initiative (ZDI) компанії Trend Micro, пов’язана із вразливістю Out-of-bounds Write, виявленою у службі SMTP.
Хоча цей тип проблеми може призвести до збоїв програмного забезпечення або пошкодження даних після успішного використання, ним також можуть зловживати зловмисники для виконання коду чи команд на вразливих серверах.
«Специфічний недолік існує у службі SMTP, яка за замовчуванням прослуховує TCP-порт 25. Проблема виникає через відсутність належної перевірки даних, наданих користувачем, що може призвести до запису після кінця буфера. Зловмисник може використати цю вразливість для виконання коду в контексті облікового запису служби», – пояснюється у пораді щодо безпеки ZDI.
Хоча ZDI повідомила про вразливість команді Exim у червні 2022 року та повторно надіслала інформацію про недолік на запит постачальника у травні 2023 року, розробники не змогли надати оновлення щодо прогресу виправлення.
Як результат, ZDI опублікував консультацію з деталями щодо вразливості нульового дня CVE-2023-42115 і повним графіком усіх обмінів із командою Exim.
Мільйони серверів піддані атакам
Сервери MTA, такі як Exim, є дуже вразливими цілями. Перш за все тому, що вони часто доступні через Інтернет, слугуючи легкими точками входу для зловмисників у цільову мережу.
Агентство національної безпеки (АНБ) заявило ще у травні 2020 року, що сумнозвісна російська військова хакерська група Sandworm використовує критичну помилку Exim CVE-2019-10149 (The Return of the WIZard) принаймні з серпня 2019 року.
Exim також є MTA за замовчуванням у дистрибутивах Debian Linux і найпопулярнішим у світі програмним забезпеченням MTA, згідно з опитуванням поштового сервера на початку вересня 2023 року.
Відповідно до отриманих результатів, Exim встановлено на понад 56% із загальної кількості 602 тисяч поштових серверів, доступних в Інтернеті, що становить трохи більше 342 тисяч серверів Exim.
Трохи більше 3,5 мільйона серверів Exim наразі доступні в Інтернеті за допомогою пошуку Shodan, більшість із них у США (слідом росія та Німеччина).
Хоча патч для захисту вразливих серверів Exim від потенційних атак ще не доступний, ZDI порадив адміністраторам обмежити віддалений доступ з Інтернету, щоб запобігти вхідним спробам використання.
«Враховуючи характер уразливості, єдиною важливою стратегією пом’якшення є обмеження взаємодії із застосунком», – попереджає ZDI.
Приватні патчі й інші баги чекають на виправлення
Цього тижня ZDI також оприлюднив п’ять інших «нульових днів» Exim із нижчими оцінками серйозності, позначеними як висока та середня серйозність:
- CVE-2023-42116: Exim SMTP Challenge Stack-based Buffer Overflow Remote Code Execution Vulnerability (CVSS v3.0 8.1).
- CVE-2023-42117: Exim Improper Neutralization of Special Elements Remote Code Execution Vulnerability (CVSS v3.0 8.1).
- CVE-2023-42118: Exim libspf2 Integer Underflow Remote Code Execution Vulnerability (CVSS v3.0 7.5).
- CVE-2023-42119: Exim dnsdb Out-Of-Bounds Read Information Disclosure Vulnerability (CVSS v3.0 3.1).
- CVE-2023-42114: Exim NTLM Challenge Out-Of-Bounds Read Information Disclosure Vulnerability (CVSS v3.0 3.7).
Розробник Exim Хайко Шліттерманн повідомив, що «виправлення доступні в захищеному репозиторії» для CVE-2023-42114, CVE-2023-42115 і CVE-2023- 42116 і «готові до застосування розповсюджувачами».
«Проблеми, що залишилися, є дискусійними або не містять інформації, яка нам потрібна для їх вирішення. Ми будемо раді надати виправлення для усіх проблем, щойно отримаємо докладну інформацію», – додав Шліттерманн.
Представник ZDI сказав, що рекомендації, опубліковані цього тижня, будуть оновлені, а тег нульового дня буде видалено, щойно Exim опублікує патчі.
«Якщо ці помилки було усунуто належним чином, ми оновимо наші попередження, додавши покликання на пораду з безпеки, перевірку коду або іншу загальнодоступну документацію, яка вирішує проблему», – заявив він.
Раніше ми повідомляли, що російський продавець експлойтів нульового дня пропонує $20 мільйонів за злам Android та iPhone.