Çok sayıda güvenlik açığı açıklandı Exim posta aktarım aracısı başarıyla kullanılması durumunda bilgilerin açığa çıkması ve uzaktan kod yürütülmesiyle sonuçlanabilir.
Haziran 2022’de isimsiz olarak bildirilen kusurların listesi şu şekildedir:
- CVE-2023-42114 (CVSS puanı: 3,7) – Exim NTLM Sınır Dışı Okuma Bilgilerinin İfşa Edilmesi Güvenlik Açığı Mücadelesi
- CVE-2023-42115 (CVSS puanı: 9,8) – Exim AUTH Sınır Dışı Yazma Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2023-42116 (CVSS puanı: 8,1) – Exim SMTP Mücadelesi Yığın Tabanlı Arabellek Taşması Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2023-42117 (CVSS puanı: 8,1) – Exim Özel Unsurların Uygunsuz Şekilde Etkisizleştirilmesi Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2023-42118 (CVSS puanı: 7,5) – Exim libspf2 Tamsayı Eksikliği Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2023-42119 (CVSS puanı: 3,1) – Exim dnsdb Sınır Dışı Okuma Bilgilerinin İfşa Edilmesi Güvenlik Açığı
Bu güvenlik açıklarından en ciddi olanı, uzaktan, kimliği doğrulanmamış saldırganların etkilenen Exim kurulumlarında rastgele kod yürütmesine olanak tanıyan CVE-2023-42115’tir.
Zero Day Initiative bu hafta yayınlanan bir uyarıda “Belirli bir kusur, varsayılan olarak TCP bağlantı noktası 25’i dinleyen SMTP hizmetinde mevcut” dedi.
“Sorun, kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanıyor ve bu da arabelleğin sonunu aşan bir yazmayla sonuçlanabiliyor. Bir saldırgan, hizmet hesabı bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
Exim yöneticileri, İleti Açık Kaynak Güvenliği posta listesinde paylaşılan oss-security, CVE-2023-42114, CVE-2023-42115 ve CVE-2023-42116 için söz konusu düzeltmelerin “korumalı bir depoda mevcut olduğunu ve dağıtım sorumluları tarafından uygulanmaya hazır olduğunu” belirtti. “
“Geri kalan sorunlar tartışılabilir veya bunları düzeltmemiz gereken eksik bilgiler var” diyen ZDI’ya, sorunlar hakkında daha fazla ayrıntı istediğini ve Mayıs 2023’e kadar “üzerinde çalışabileceğimiz yanıtları alamadığını” ekledi. Exim ekibi ayrıca şunları söyledi: diğer üç eksiklikle ilgili ayrıntılı ayrıntıları bekliyorlar.
Ancak ZDI, geliştiricilere birkaç kez ulaştığını belirterek, “özensiz kullanım” ve “her iki takımın da 10 ay boyunca diğerine ping atmaması” iddialarına karşı çıktı.
“Açıklama zaman çizelgemiz aylarca aşıldıktan sonra, geliştiriciye bu hataları kamuya açıklama niyetimizi bildirdik ve o sırada bize ‘ne yaparsan yap’ söylendi.” söz konusu.
“Bu hatalar uygun şekilde giderildiyse, tavsiyelerimizi güvenlik tavsiyesine, kod girişine veya sorunu kapatan diğer genel belgelere bir bağlantıyla güncelleyeceğiz.”
Yamaların yokluğunda ZDI, tek “dikkat çekici” azaltma stratejisi olarak uygulamayla etkileşimin kısıtlanmasını önerir.
Bu, yaygın olarak kullanılan posta aktarım aracısında ortaya çıkan ilk güvenlik kusuru değil. Mayıs 2021’de Qualys, kimliği doğrulanmamış saldırganların tam uzaktan kod yürütmesine ve kök ayrıcalıkları kazanmasına olanak tanıyan ve toplu olarak 21Nails olarak takip edilen 21 güvenlik açığını açıkladı.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Daha önce Mayıs 2020’de ABD hükümeti rapor edildi Rusya’dan devlet destekli bir grup olan Sandworm’a bağlı bilgisayar korsanlarının, hassas ağlara sızmak için kritik bir Exim güvenlik açığından (CVE-2019-10149, CVSS puanı: 9,8) yararlandığı ortaya çıktı.
Bu gelişme aynı zamanda California San Diego Üniversitesi’nden araştırmacıların, e-posta iletmedeki zayıflıklardan yararlanarak meşru varlıkların kimliğine bürünen mesajlar gönderen ve böylece dürüstlükten ödün veren, iletme tabanlı kimlik sahtekarlığı adı verilen yeni bir teknik keşfettiği yeni bir çalışmanın hemen ardından geldi. .
Araştırma, “Bir e-postanın orijinalliğini kontrol etmek için kullanılan orijinal protokol, dolaylı olarak her kuruluşun, diğer alanlar tarafından kullanılmayan belirli IP adresleriyle kendi posta altyapısını işlettiğini varsayar.” kurmak.
“Fakat günümüzde pek çok kuruluş, e-posta altyapılarını Gmail ve Outlook’a dış kaynaklardan sağlıyor. Sonuç olarak, binlerce alan adı, kendi adlarına e-posta gönderme hakkını aynı üçüncü tarafa devretti. Bu üçüncü taraf sağlayıcılar, kullanıcılarının yalnızca e-posta gönderdiklerini doğruluyor Yönettikleri alan adları adına e-posta gönderildiğinde bu koruma, e-posta yönlendirmeyle aşılabilir.”