Se han revelado múltiples vulnerabilidades de seguridad en el Agente de transferencia de correo Exim que, si se explota con éxito, podría resultar en la divulgación de información y la ejecución remota de código.
La lista de fallas, que se informaron de forma anónima allá por junio de 2022, es la siguiente:
- CVE-2023-42114 (Puntuación CVSS: 3,7) – Vulnerabilidad de divulgación de información de lectura fuera de límites del Exim NTLM Challenge
- CVE-2023-42115 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de escritura fuera de límites de Exim AUTH
- CVE-2023-42116 (Puntuación CVSS: 8,1) – Vulnerabilidad de ejecución remota de código de desbordamiento de búfer basado en pila del desafío SMTP de Exim
- CVE-2023-42117 (Puntuación CVSS: 8.1) – Vulnerabilidad de ejecución remota de código de neutralización inadecuada de elementos especiales de Exim
- CVE-2023-42118 (Puntuación CVSS: 7,5) – Vulnerabilidad de ejecución remota de código de desbordamiento entero de Exim libspf2
- CVE-2023-42119 (Puntuación CVSS: 3,1) – Vulnerabilidad de divulgación de información de lectura fuera de límites de Exim dnsdb
La más grave de las vulnerabilidades es CVE-2023-42115, que permite a atacantes remotos no autenticados ejecutar código arbitrario en instalaciones afectadas de Exim.
«La falla específica existe dentro del servicio SMTP, que escucha en el puerto TCP 25 de forma predeterminada», dijo Zero Day Initiative en una alerta publicada esta semana.
«El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final del búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio».
Mantenedores de Exim, en un mensaje compartido en la lista de correo de Open Source Security oss-security, dijo que las correcciones para CVE-2023-42114, CVE-2023-42115 y CVE-2023-42116 están «disponibles en un repositorio protegido y están listas para ser aplicadas por los mantenedores de la distribución». «.
«Los problemas restantes son discutibles o falta información que necesitamos para solucionarlos», y agregó que pidió a ZDI más detalles sobre los problemas y que «no obtuvo respuestas con las que pudimos trabajar» hasta mayo de 2023. El equipo de Exim dijo además están esperando detalles específicos sobre las otras tres deficiencias.
Sin embargo, el ZDI rechazó las afirmaciones sobre un «manejo descuidado» y «ningún equipo hizo ping al otro durante 10 meses», afirmando que se comunicó varias veces con los desarrolladores.
«Después de que nuestro cronograma de divulgación se excediera por muchos meses, notificamos al responsable de nuestra intención de divulgar públicamente estos errores, momento en el cual nos dijeron, ‘haz lo que haces'», dijo. dicho.
«Si estos errores se han solucionado adecuadamente, actualizaremos nuestros avisos con un enlace al aviso de seguridad, verificación de código u otra documentación pública que cierre el problema».
A falta de parches, la ZDI recomienda restringir la interacción con la aplicación como única estrategia de mitigación «destacada».
Esta no es la primera vez que se descubren fallas de seguridad en el ampliamente utilizado agente de transferencia de correo. En mayo de 2021, Qualys reveló un conjunto de 21 vulnerabilidades rastreadas colectivamente como 21Nails que permiten a atacantes no autenticados lograr una ejecución remota completa de código y obtener privilegios de root.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Anteriormente, en mayo de 2020, el gobierno de EE. UU. reportado que los piratas informáticos afiliados a Sandworm, un grupo ruso patrocinado por el estado, habían estado explotando una vulnerabilidad crítica de Exim (CVE-2019-10149, puntuación CVSS: 9,8) para penetrar redes sensibles.
El desarrollo también llega inmediatamente después de un nuevo estudio realizado por investigadores de la Universidad de California en San Diego que descubrió una técnica novedosa llamada suplantación de identidad basada en reenvío que aprovecha las debilidades en el reenvío de correo electrónico para enviar mensajes haciéndose pasar por entidades legítimas, comprometiendo así la integridad. .
«El protocolo original utilizado para comprobar la autenticidad de un correo electrónico supone implícitamente que cada organización opera su propia infraestructura de correo, con direcciones IP específicas que no utilizan otros dominios», señala la investigación. encontró.
«Pero hoy en día, muchas organizaciones subcontratan su infraestructura de correo electrónico a Gmail y Outlook. Como resultado, miles de dominios han delegado el derecho de enviar correo electrónico en su nombre al mismo tercero. Si bien estos proveedores externos validan que sus usuarios sólo envían correo electrónico en nombre de los dominios que operan, esta protección se puede evitar mediante el reenvío de correo electrónico».