Οι προγραμματιστές του Exim κυκλοφόρησαν ενημερώσεις για τρεις από τις zero-day ευπάθειες που αποκαλύφθηκαν την περασμένη εβδομάδα μέσω του Zero Day Initiative (ZDI) της Trend Micro.
Η πιο σοβαρή από αυτές τις ευπάθειες ανακαλύφθηκε από έναν ανώνυμο ερευνητή ασφαλείας. Το zero-day bug (CVE-2023-42115) οφείλεται σε Out-of-bounds Write weakness στην υπηρεσία SMTP και μπορεί να χρησιμοποιηθεί από απομακρυσμένους εισβολείς, χωρίς έλεγχο ταυτότητας, για την εκτέλεση κώδικα.
“Το συγκεκριμένο ελάττωμα υπάρχει στην υπηρεσία smtp (TCP port 25 από προεπιλογή). Το πρόβλημα προκύπτει από την έλλειψη σωστής επικύρωσης user-supplied data, η οποία μπορεί να οδηγήσει σε “write past the end of a buffer“, αναφέρει το ZDI.
Δείτε επίσης: Microsoft Defender: Δεν επισημαίνει πλέον το Tor Browser ως κακόβουλο λογισμικό
“Διορθώστε ένα πιθανό OOB write στον εξωτερικό έλεγχο ταυτότητας“, λέει η ομάδα ανάπτυξης του Exim στο changelog της έκδοσης 4.96.1, που κυκλοφόρησε.
Η ομάδα του Exim επιδιορθώνει, επίσης, ένα άλλο zero-day σφάλμα που επιτρέπει την εκτέλεση κώδικα απομακρυσμένα (CVE-2023-42114) και ένα τρίτο που οδηγεί σε αποκάλυψη πληροφοριών (CVE-2023-42116).
Όπως αποκάλυψε ο προγραμματιστής του Exim, Heiko Schlittermann, την Παρασκευή, οι νέες επιδιορθώσεις ήταν ήδη “διαθέσιμες σε ένα προστατευμένο repository” και “έτοιμες για εφαρμογή από τους distribution maintainers“.
Δείτε επίσης: Arm: Προειδοποιεί για ελαττώματα στο Mali GPU
Άλλες τρεις zero-day Exim ευπάθειες που πρέπει να διορθωθούν:
- CVE-2023-42117: Επιτρέπει την εκτέλεση κώδικα απομακρυσμένα
- CVE-2023-42118: Επιτρέπει την εκτέλεση κώδικα απομακρυσμένα
- CVE-2023-42119: Επιτρέπει την αποκάλυψη πληροφοριών
Όπως είπαμε και παραπάνω, η πιο σοβαρή από τις Exim zero-day ευπάθειες, είναι η CVE-2023-42115. Έχει λάβει βαθμολογία 9,8/10 στην κλίμακα σοβαρότητας ευπαθειών. Αλλά οι προγραμματιστές της Exim λένε ότι η επιτυχής εκμετάλλευσή της εξαρτάται από τη χρήση εξωτερικού ελέγχου ταυτότητας στους στοχευμένους διακομιστές.
Παρόλο που 3,5 εκατομμύρια διακομιστές Exim εκτίθενται στο διαδίκτυο, σύμφωνα με το Shodan, αυτή η απαίτηση μειώνει δραστικά τον αριθμό των Exim mail servers που βρίσκονται τελικά σε κίνδυνο.
Μια ανάλυση από το watchTowr Labs επιβεβαιώνει την Exim και λέει ότι οι ευπάθειες απαιτούν ειδικές συνθήκες για να χρησιμοποιηθούν.
Δείτε επίσης: Η ομάδα ShadowSyndicate έχει χρησιμοποιήσει 7 οικογένειες ransomware τον τελευταίο χρόνο
Το watchTowr Labs παρείχε επίσης μια λίστα με όλα τα configuration requirements σε ευάλωτους Exim servers που απαιτούνται για επιτυχή εκμετάλλευση:
| CVE | CVSS | Requirements |
| CVE-2023-42115 | 9.8 | “External” authentication scheme configured and available |
| CVE-2023-42116 | 8.1 | “SPA” module (used for NTLM auth) configured and available |
| CVE-2023-42117 | 8.1 | Exim Proxy (different to a SOCKS or HTTP proxy) in use with untrusted proxy server |
| CVE-2023-42118 | 7.5 | “SPF” condition used in an ACL |
| CVE-2023-42114 | 3.7 | “SPA” module (used for NTLM auth) configured to auth the Exim server to an upstream server |
| CVE-2023-42119 | 3.1 | An untrusted DNS resolver |
“Οι περισσότεροι από εμάς δεν χρειάζεται να ανησυχούμε“, δήλωσε ερευνήτρια του watchTowr.
“Λοιπόν, η συμβουλή μας είναι η συνηθισμένη – επιδιορθώστε όταν μπορείτε, μόλις διατεθούν τα patches [..] Αλλά στο μεταξύ, μην πανικοβληθείτε“, είπε ακόμα.
Οι εταιρείες πληροφορικής και τεχνολογίας συχνά αποκαλύπτουν προβλήματα ασφαλείας στις πλατφόρμες τους – άλλωστε, κανένα λογισμικό δεν είναι άτρωτο. Ωστόσο, αυτά τα προβλήματα είναι ακόμα πιο σοβαρά όταν πρόκειται για τα λεγόμενα “zero-day bugs”. Οι zero-day ευπάθειες είναι εκείνες οι ευπάθειες που οι επιτιθέμενοι είναι σε θέση να εκμεταλλευτούν πριν οι προγραμματιστές δημιουργήσουν και διανείμουν διορθώσεις. Αυτές οι ευπάθειες είναι ιδιαίτερα επικίνδυνες, καθώς οι κακόβουλοι χρήστες μπορεί να έχουν συνεχή πρόσβαση στα ευάλωτα συστήματα, μέχρι να εντοπιστεί και να διορθωθεί η ευπάθεια. Η βαθμολογία 9,8/10 στην κλίμακα σοβαρότητας ευπαθειών για την ευπάθεια CVE-2023-42115 υπογραμμίζει την ανάγκη για άμεση εφαρμογή του Exim patch που είναι τώρα διαθέσιμο.
Πηγή: www.bleepingcomputer.com
