Plusieurs vulnérabilités de sécurité ont été divulguées dans le Agent de transfert de courrier Exim qui, s’il est exploité avec succès, pourrait entraîner la divulgation d’informations et l’exécution de code à distance.
La liste des failles, qui ont été signalées de manière anonyme en juin 2022, est la suivante :
- CVE-2023-42114 (score CVSS : 3,7) – Vulnérabilité de divulgation d’informations en lecture hors limites du défi Exim NTLM
- CVE-2023-42115 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance d’écriture hors limites dans Exim AUTH
- CVE-2023-42116 (score CVSS : 8,1) – Vulnérabilité d’exécution de code à distance par débordement de tampon basée sur la pile de défis Exim SMTP
- CVE-2023-42117 (score CVSS : 8,1) – Exim neutralisation inappropriée d’éléments spéciaux vulnérabilité d’exécution de code à distance
- CVE-2023-42118 (score CVSS : 7,5) – Vulnérabilité d’exécution de code à distance en cas de dépassement d’entier excessif dans Exim libspf2
- CVE-2023-42119 (score CVSS : 3,1) – Vulnérabilité de divulgation d’informations de lecture hors limites d’Exim dnsdb
La plus grave des vulnérabilités est CVE-2023-42115, qui permet à des attaquants distants non authentifiés d’exécuter du code arbitraire sur les installations affectées d’Exim.
« La faille spécifique existe au sein du service SMTP, qui écoute par défaut sur le port TCP 25 », a indiqué la Zero Day Initiative dans une alerte publiée cette semaine.
« Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’un tampon. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service. »
Les responsables d’Exim, dans un message partagé sur la liste de diffusion Open Source Security oss-security, les correctifs pour CVE-2023-42114, CVE-2023-42115 et CVE-2023-42116 sont « disponibles dans un référentiel protégé et sont prêts à être appliqués par les responsables de la distribution ». « .
« Les problèmes restants sont discutables ou manquent d’informations dont nous avons besoin pour les résoudre », ajoutant qu’il a demandé à ZDI plus de détails sur les problèmes et qu’il « n’a pas obtenu de réponses avec lesquelles nous avons pu travailler » avant mai 2023. L’équipe d’Exim a en outre déclaré ils attendent des précisions détaillées sur les trois autres lacunes.
Cependant, le ZDI a repoussé les allégations concernant une « gestion bâclée » et « aucune des équipes n’a envoyé un ping à l’autre pendant 10 mois », déclarant avoir contacté les développeurs à plusieurs reprises.
« Après que notre délai de divulgation ait été dépassé de plusieurs mois, nous avons informé le responsable de notre intention de divulguer publiquement ces bogues, et à ce moment-là, on nous a dit : ‘vous faites ce que vous faites' », a-t-il déclaré. dit.
« Si ces bogues ont été corrigés de manière appropriée, nous mettrons à jour nos avis avec un lien vers l’avis de sécurité, l’enregistrement du code ou toute autre documentation publique clôturant le problème. »
En l’absence de correctifs, le ZDI recommande de restreindre l’interaction avec l’application comme seule stratégie d’atténuation « importante ».
Ce n’est pas la première fois que des failles de sécurité sont découvertes dans l’agent de transfert de courrier largement utilisé. En mai 2021, Qualys a divulgué un ensemble de 21 vulnérabilités collectivement suivies sous le nom de 21Nails qui permettent à des attaquants non authentifiés d’exécuter complètement du code à distance et d’obtenir les privilèges root.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
En mai 2020, le gouvernement américain signalé que des pirates informatiques affiliés à Sandworm, un groupe russe parrainé par l’État, avaient exploité une vulnérabilité critique d’Exim (CVE-2019-10149, score CVSS : 9,8) pour pénétrer dans des réseaux sensibles.
Ce développement fait également suite à une nouvelle étude menée par des chercheurs de l’Université de Californie à San Diego qui a découvert une nouvelle technique appelée usurpation d’identité basée sur le transfert qui profite des faiblesses du transfert de courrier électronique pour envoyer des messages usurpant l’identité d’entités légitimes, compromettant ainsi l’intégrité. .
« Le protocole original utilisé pour vérifier l’authenticité d’un courrier électronique suppose implicitement que chaque organisation exploite sa propre infrastructure de messagerie, avec des adresses IP spécifiques non utilisées par d’autres domaines », indique la recherche. trouvé.
« Mais aujourd’hui, de nombreuses organisations sous-traitent leur infrastructure de messagerie à Gmail et Outlook. En conséquence, des milliers de domaines ont délégué le droit d’envoyer des e-mails en leur nom au même tiers. Alors que ces fournisseurs tiers valident que leurs utilisateurs n’envoient que email au nom des domaines qu’ils exploitent, cette protection peut être contournée par le transfert d’e-mails. »