Vulnerabilità Exim: a rischio 250.000 server e-mail in tutto il mondo

Migliaia di server che adottano il sistema di trasferimento della posta elettronica Exim sono risultati vulnerabili a potenziali attacchi informatici.

Ciò è dovuto ad alcune falle critiche che, secondo gli esperti, consentono l’esecuzione remota di codice dannoso, attraverso poca o nessuna interazione da parte dell’utente.

Questo pericolo è stato segnalato nel corso della scorsa settimana dalla Zero Day Initiative, che ha individuato ben sei exploit in tale contesto. Nello specifico, quattro di questi si presentano con un punteggio di gravità da 7,8 a 9,8 su una scala con valore massimo 10.

A tal proposito, Exim si è mosso prontamente, offrendo in tempo record una patch per tre delle vulnerabilità individuate. Riguardo le patch correttive finora proposte dal team di Exim, queste risultano disponibili in un “repository protetto e sono pronte per essere applicate“.

A rendere così pericolose queste falle di sicurezza è la diffusione di questa piattaforma: Exim è un agente di trasferimento di posta elettronica open source utilizzato da ben 253.000 server in tutto il mondo.

Exim e vulnerabilità: tre le patch proposte ai gestori dei server per risolvere altrettante falle

La più grave delle vulnerabilità, identificata come CVE-2023-42115, è tra quelle che, secondo un membro del team Exim, sono state corrette. ZDI lo ha descritto come una falla legata alla gestione delle autenticazioni.

Il report della scorsa settimana recitava a riguardo “Questa vulnerabilità consente agli aggressori remoti di eseguire codice arbitrario sulle installazioni interessate“. Nello stesso era poi spiegato come “Non è necessaria l’autenticazione per sfruttare questa vulnerabilità“.

Un’altra vulnerabilità corretta, definita come CVE-2023-42116, è considerata gravità è 8,1. A tal proposito, per ZDI “Il difetto specifico esiste nella gestione delle richieste di sfida NTLM“, aggiungendo poi come “Il problema deriva dalla mancanza di un’adeguata convalida della lunghezza dei dati forniti dall’utente prima di copiarli in un buffer basato su stack a lunghezza fissa. Un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto dell’account di servizio“.

La terza vulnerabilità risolta viene tracciata come CVE-2023-42114 e consente la divulgazione di informazioni sensibili. Ha una valutazione di pericolosità pari a 3,7.

Alcuni addetti ai lavori hanno criticato il progetto Exim per non aver divulgato in modo trasparente le vulnerabilità. Aggiungendo ulteriore carburante alle critiche, le divulgazioni di ZDI hanno fornito una sequenza temporale che indicava che i rappresentanti dell’azienda avevano notificato le falle  ai membri del progetto Exim nel giugno 2022.

In un post di venerdì sulla mail list dell’OSS-Sec, il membro del team del progetto Exim Heiko Schlittermann ha affermato che dopo aver ricevuto il rapporto privato ZDI a metà 2022, i membri del team hanno chiesto ulteriori dettagli “ma non hanno ottenuto risposte con cui abbiamo potuto lavorare“. A quanto pare, poi, non vi è stato alcun contatto successivo fino a maggio 2023.