[ad_1]
Cuatro vulnerabilidades Zero-Day críticas en todas las versiones del software
del agente de transferencia de correo (MTA) de
EXIM puede
permitir a atacantes no autenticados obtener ejecución remota de código (RCE)
en servidores expuestos a Internet.
Encontrado por un investigador de seguridad anónimo y divulgado a través de la
Iniciativa de Día Cero (ZDI) de Trend Micro, la vulnerabilidad más grave (CVE-2023-42115) se debe a una
debilidad de escritura fuera de límites encontrada en el servicio SMTP. Si bien este tipo de problema puede provocar fallas de software o corrupción
de datos luego de una explotación exitosa, los atacantes también pueden abusar
de él para ejecutar código o comandos en servidores vulnerables.
«El fallo específico existe en el servicio smtp, que escucha en el puerto
TCP 25 de forma predeterminada»,
explica un aviso de seguridad de ZDI
publicado el miércoles pasado.
«El problema se debe a la falta de validación adecuada de los datos
proporcionados por el usuario, lo que puede provocar una escritura más allá
del final del búfer. Un atacante puede aprovechar esta vulnerabilidad para
ejecutar código en el contexto de la cuenta de servicio».
Si bien ZDI informó las vulnerabilidades al equipo de Exim en junio de 2022 y
envió información sobre las fallas en mayo de 2023, pero los desarrolladores no proporcionaron una actualización sobre el progreso de
su parche.
Como resultado, ZDI publicó un aviso el 27 de septiembre, con
detalles sobre el día cero CVE-2023-42115
y un cronograma completo de todos los intercambios con el equipo de Exim.
Millones de servidores expuestos a ataques
Los servidores MTA como Exim son objetivos altamente vulnerables,
principalmente porque a menudo se puede acceder a ellos a través de Internet,
lo que sirve como puntos de entrada fáciles para los atacantes a la red del
objetivo.
La Agencia de Seguridad Nacional (NSA) dijo hace tres años, en mayo de 2020,
que el famoso grupo de hacking militar ruso
Sandworm
ha estado explotando la
falla crítica CVE-2019-10149 («The Return of the WIZard») en Exim
desde al menos agosto de 2019.
Exim también es el MTA predeterminado en las distribuciones Debian Linux y
el software MTA más popular del mundo, según una
encuesta de servidores de correo de septiembre de 2023. Según la encuesta, Exim está instalado en más del 56% de un total de 602.000
servidores de correo accesibles en Internet, lo que representa poco más de
342.000 servidores Exim.
Según una
búsqueda de Shodan, actualmente hay poco más de 3,5 millones de servidores Exim expuestos
online, la mayoría de ellos en Estados Unidos, seguidos de Rusia y Alemania.
ZDI no proporcionó ninguna indicación de que Exim haya publicado parches para
cualquiera de las vulnerabilidades, y en el momento en que esta publicación,
el sitio web de Exim no menciona ninguna de las vulnerabilidades o parches. En
la
lista de correo de OSS-Sec del viernes, un miembro del equipo del proyecto Exim dijo que las correcciones para dos
de las vulnerabilidades más graves y una tercera, menos grave, están
disponibles en un
«repositorio protegido y están listas para ser aplicadas por los
mantenedores de la distribución».
«Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación
destacada es restringir la interacción con la aplicación», advirtió ZDI. Se recomienda a los administradores restringir el acceso remoto desde
Internet para frustrar los intentos de explotación entrantes.
Fuente:
BC
[ad_2]
Source link
Los comentarios están cerrados.