/https://www.ilsoftware.it/app/uploads/2024/07/vulnerabilita-exim-email.jpg "La email sono meno sicure: vulnerabilità in Exim interessa 1,5 milioni di server di posta")
I Mail Transfer Agents (MTA) sono componenti fondamentali dell’infrastruttura di posta elettronica. Servono principalmente a gestire la trasmissione delle email tra i vari server di posta: eseguono operazioni di invio, ricezione e inoltro delle email all’interno di una rete o su Internet. Un MTA determina il percorso che ogni email deve seguire per raggiungere la destinazione finale, ciò può includere l’inoltro attraverso uno o più server intermedi. Se l’email fosse destinata a un utente locale, questa viene smistata direttamente nella casella di posta dell’utente.
I MTA gestiscono code per le email in attesa di essere inviate o ricevute, assicurando che la spedizione dei messaggi sia tentata più volte in caso di eventuali temporanei problemi di connessione.
I ricercatori di Censys avvisano che oltre 1,5 milioni di server Exim sono al momento a rischio: gli aggressori possono facilmente scavalcare i filtri di sicurezza sfruttando un problema di sicurezza individuato nel MTA.
Cos’è Exim e a cosa serve
Exim è un MTA utilizzato su sistemi Unix-like. È progettato per gestire lo smistamento e la consegna delle email su reti informatiche, incluse Internet e reti locali. È flessibile, configurabile e ampiamente utilizzato. Originariamente sviluppato presso l’Università di Cambridge, è noto per la sua abilità nel soddisfare esigenze diverse: dalla semplice gestione della posta fino a complesse configurazioni di routing e filtraggio.
Un MTA come Exim esegue vari controlli sulla posta in arrivo, come la verifica del mittente, il controllo di autenticazione e altre politiche di sicurezza configurabili dagli amministratori. I filtri possono includere la scansione antivirus, la verifica antispam e la modifica delle intestazioni o header delle email.
La vulnerabilità che permette di bypassare i filtri di sicurezza
Il 10 luglio 2024, gli sviluppatori di Exim hanno comunicato di aver risolto la vulnerabilità CVE-2024-39929 che, se sfruttata, può consentire agli aggressori remoti di inviare allegati dannosi saltando le protezione implementato a livello server.
La lacuna di sicurezza in questione ha a che fare con un’imperfetta gestione degli header da parte di Exim. Gli attaccanti possono così bypassare completamente il meccanismo di protezione chiamato $mime_filename e fare sì che i loro messaggi siano comunque trasmessi a destinazione.
I destinatari delle email devono comunque lanciare l’allegato dannoso affinché l’attacco vada a buon fine. Tuttavia, gli esperti di Censys sottolineano che i criminali informatici hanno adesso la possibilità di far recapitare file eseguibili nelle caselle di posta delle vittime, elementi che di norma sono bloccati e che adesso non lo sono più. Almeno fino all’effettiva installazione dell’aggiornamento di sicurezza di Exim.
Censys spiega che le versioni vulnerabili di Exim sono la 4.97.1 e tutte quelle precedenti. Inoltre, una semplice ricerca con il motore Shodan mette in evidenza che sono oltre 1,5 milioni i server potenzialmente vulnerabili su scala globale.
Perché il server Exim è un bersaglio appetibile
I server MTA, come Exim, sono spesso presi di mira perché sono quasi sempre accessibili tramite Internet. L’interfaccia pubblica li rende facili da individuare e spesso sono bersagliati perché potenziali punti di ingresso nelle reti delle vittime.
Exim è anche MTA predefinito in Debian Linux ed è il software Mail Transfer Agent più diffuso al mondo.
NNSA ha rivelato a maggio 2020 che il famigerato gruppo di hacker militari russi Sandworm ha sfruttato la falla critica CVE-2019-10149 di Exim (soprannominata The Return of the WIZard) almeno dall’agosto 2019.
Più di recente, a ottobre 2023, gli sviluppatori di Exim hanno corretto tre vulnerabilità zero-day divulgate tramite la Zero Day Initiative (ZDI) di Trend Micro. Una di esse (CVE-2023-42115) espone milioni di server Exim ad attacchi RCE (esecuzione di codice in modalità remota) nella fase di pre-autenticazione.
In un altro articolo abbiamo acceso un faro su problema conosciuto come SMTP Smuggling: gli aggressori sfruttano sempre più spesso vulnerabilità di MTA, webmail e client di posta per far apparire legittimi messaggi che invece non lo sono affatto.
L’immagine in apertura è generata con Playground.
/https://www.ilsoftware.it/app/uploads/2024/09/vulnerabilita-litespeed-cache-wordpress.jpg "6 milioni di siti WordPress a rischio attacco: nuova falla in LiteSpeed Cache")
/https://www.ilsoftware.it/app/uploads/2024/09/vulnerabilita-access-point-zyxel.jpg "Zyxel: una falla espone gli access point. Quali sono i rischi concreti")
/https://www.ilsoftware.it/app/uploads/2024/05/2-8.jpg "Il ransomware Qilin prende di mira le credenziali memorizzate da Chrome")
/https://www.ilsoftware.it/app/uploads/2023/07/cybersecurity-hacker.jpg "Vulnerabilità WinRAR sfruttata in azioni di hacktivismo per diffondere malware")