La email sono meno sicure: vulnerabilità in Exim interessa 1,5 milioni di server di posta

I Mail Transfer Agents (MTA) sono componenti fondamentali dell’infrastruttura di posta elettronica. Servono principalmente a gestire la trasmissione delle email tra i vari server di posta: eseguono operazioni di invio, ricezione e inoltro delle email all’interno di una rete o su Internet. Un MTA determina il percorso che ogni email deve seguire per raggiungere la destinazione finale, ciò può includere l’inoltro attraverso uno o più server intermedi. Se l’email fosse destinata a un utente locale, questa viene smistata direttamente nella casella di posta dell’utente.

I MTA gestiscono code per le email in attesa di essere inviate o ricevute, assicurando che la spedizione dei messaggi sia tentata più volte in caso di eventuali temporanei problemi di connessione.

I ricercatori di Censys avvisano che oltre 1,5 milioni di server Exim sono al momento a rischio: gli aggressori possono facilmente scavalcare i filtri di sicurezza sfruttando un problema di sicurezza individuato nel MTA.

Cos’è Exim e a cosa serve

Exim è un MTA utilizzato su sistemi Unix-like. È progettato per gestire lo smistamento e la consegna delle email su reti informatiche, incluse Internet e reti locali. È flessibile, configurabile e ampiamente utilizzato. Originariamente sviluppato presso l’Università di Cambridge, è noto per la sua abilità nel soddisfare esigenze diverse: dalla semplice gestione della posta fino a complesse configurazioni di routing e filtraggio.

Un MTA come Exim esegue vari controlli sulla posta in arrivo, come la verifica del mittente, il controllo di autenticazione e altre politiche di sicurezza configurabili dagli amministratori. I filtri possono includere la scansione antivirus, la verifica antispam e la modifica delle intestazioni o header delle email.

La vulnerabilità che permette di bypassare i filtri di sicurezza

Il 10 luglio 2024, gli sviluppatori di Exim hanno comunicato di aver risolto la vulnerabilità CVE-2024-39929 che, se sfruttata, può consentire agli aggressori remoti di inviare allegati dannosi saltando le protezione implementato a livello server.

La lacuna di sicurezza in questione ha a che fare con un’imperfetta gestione degli header da parte di Exim. Gli attaccanti possono così bypassare completamente il meccanismo di protezione chiamato $mime_filename e fare sì che i loro messaggi siano comunque trasmessi a destinazione.

I destinatari delle email devono comunque lanciare l’allegato dannoso affinché l’attacco vada a buon fine. Tuttavia, gli esperti di Censys sottolineano che i criminali informatici hanno adesso la possibilità di far recapitare file eseguibili nelle caselle di posta delle vittime, elementi che di norma sono bloccati e che adesso non lo sono più. Almeno fino all’effettiva installazione dell’aggiornamento di sicurezza di Exim.

Censys spiega che le versioni vulnerabili di Exim sono la 4.97.1 e tutte quelle precedenti. Inoltre, una semplice ricerca con il motore Shodan mette in evidenza che sono oltre 1,5 milioni i server potenzialmente vulnerabili su scala globale.

Perché il server Exim è un bersaglio appetibile

I server MTA, come Exim, sono spesso presi di mira perché sono quasi sempre accessibili tramite Internet. L’interfaccia pubblica li rende facili da individuare e spesso sono bersagliati perché potenziali punti di ingresso nelle reti delle vittime.

Exim è anche MTA predefinito in Debian Linux ed è il software Mail Transfer Agent più diffuso al mondo.

NNSA ha rivelato a maggio 2020 che il famigerato gruppo di hacker militari russi Sandworm ha sfruttato la falla critica CVE-2019-10149 di Exim (soprannominata The Return of the WIZard) almeno dall’agosto 2019.

Più di recente, a ottobre 2023, gli sviluppatori di Exim hanno corretto tre vulnerabilità zero-day divulgate tramite la Zero Day Initiative (ZDI) di Trend Micro. Una di esse (CVE-2023-42115) espone milioni di server Exim ad attacchi RCE (esecuzione di codice in modalità remota) nella fase di pre-autenticazione.

In un altro articolo abbiamo acceso un faro su problema conosciuto come SMTP Smuggling: gli aggressori sfruttano sempre più spesso vulnerabilità di MTA, webmail e client di posta per far apparire legittimi messaggi che invece non lo sono affatto.

L’immagine in apertura è generata con Playground.