imágenes falsas
Miles de servidores que ejecutan el agente de transferencia de correo Exim son vulnerables a posibles ataques que explotan vulnerabilidades críticas, permitiendo la ejecución remota de código malicioso con poca o ninguna interacción del usuario.
Las vulnerabilidades fueron reportadas el miércoles por Zero Day Initiative, pero en gran medida pasaron desapercibidas hasta el viernes, cuando aparecieron en una lista de correo de seguridad. Cuatro de los seis errores permiten la ejecución remota de código y tienen clasificaciones de gravedad de 7,5 a 9,8 sobre 10 posibles. Exim dijo que ha creado parches para tres de las vulnerabilidades disponibles en un repositorio privado. Se desconoce el estado de los parches para las tres vulnerabilidades restantes, dos de las cuales permiten RCE. Exim es un agente de transferencia de correo de código abierto que utilizan hasta 253.000 servidores en Internet.
“Manejo descuidado” en ambos lados
ZDI no proporcionó ninguna indicación de que Exim haya publicado parches para cualquiera de las vulnerabilidades, y en el momento en que esta publicación se publicó en Ars, el sitio web de Exim no mencionó ninguna de las vulnerabilidades o parches. En la lista de correo de OSS-Sec del viernes, un miembro del equipo del proyecto Exim dijo que las correcciones para dos de las vulnerabilidades más graves y una tercera, menos grave, están disponibles en un «repositorio protegido y están listas para ser aplicadas por los mantenedores de la distribución». «
No hubo más detalles sobre las correcciones, exactamente cómo las obtienen los administradores o si hay mitigaciones disponibles para aquellos que no pueden parchear de inmediato. Los miembros del equipo del proyecto Exim no respondieron a un correo electrónico solicitando información adicional.
La más grave de las vulnerabilidades, rastreada como CVE-2023-42115, se encuentra entre aquellas que, según el miembro del equipo Exim, han sido reparadas. ZDI lo describió como una falla fuera de los límites en un componente Exim que maneja la autenticación.
«Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Exim», afirma el aviso del miércoles. «No se requiere autenticación para explotar esta vulnerabilidad».
Otra vulnerabilidad parcheada, rastreada como CVE-2023-42116, es un desbordamiento basado en pila en el componente de desafío Exim. Su índice de gravedad es 8,1 y también permite RCE.
«La falla específica existe en el manejo de solicitudes de impugnación NTLM», dijo ZDI. “El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio”.
La tercera vulnerabilidad solucionada se rastrea como CVE-2023-42114, que permite la divulgación de información confidencial. Tiene una calificación de 3,7.
Algunos críticos han criticado al proyecto Exim por no revelar de forma transparente las vulnerabilidades. Para agregar más combustible a las críticas, las divulgaciones de ZDI proporcionaron un cronograma que indicaba que los representantes de la compañía notificaron a los miembros del proyecto Exim sobre las vulnerabilidades en junio de 2022. Durante los meses intermedios se produjeron un puñado de interacciones de ida y vuelta hasta que ZDI las reveló el miércoles.
En una publicación del viernes en la lista de correo de OSS-Sec, Heiko Schlittermann, miembro del equipo del proyecto Exim, dijo que después de recibir el informe privado de ZDI en junio de 2022, los miembros del equipo pidieron detalles adicionales “pero no obtuvieron respuestas con las que pudimos trabajar”. .” El siguiente contacto no se produjo hasta mayo de 2023. «Inmediatamente después de este contacto creamos un rastreador de errores del proyecto para 3 de los 6 problemas», dijo Schlittermann. «Los problemas restantes son discutibles o faltan información que necesitamos para solucionarlos».
Algunas personas que participaron en la discusión criticaron a ambas partes.
«Esto parece un manejo descuidado de estos problemas hasta ahora tanto por parte de ZDI como de Exim: ninguno de los equipos hizo ping al otro durante 10 meses, luego Exim tardó 4 meses en solucionar incluso los 2 problemas de puntuación más alta sobre los que tenía suficiente información», dijo el distinguido escribió el investigador de seguridad conocido como Solar Designer. «¿Qué estás haciendo para mejorar el manejo a partir de este momento?»
El crítico también preguntó a Schlittermann cuándo se permitirá a las distribuciones del sistema operativo hacer públicas las actualizaciones de Exim, ya que las correcciones se encuentran actualmente en un repositorio protegido. «Le sugiero que establezca una fecha/hora específica, por ejemplo, dentro de 2 días, cuando tanto el proyecto Exim creará el repositorio como las entradas de errores corregidas… las distribuciones públicas y publicarán actualizaciones».
Nadie de Exim respondió a esas preguntas o, como se mencionó anteriormente, a las preguntas que Ars envió por correo electrónico poco después.
Con solo una cantidad limitada de detalles disponibles tan tarde un viernes, la aplicación de parches y las posibles mitigaciones pueden no ser tan sencillas como algunos administradores podrían esperar. A pesar de las posibles dificultades, las vulnerabilidades parecen graves. En 2020, la Agencia de Seguridad Nacional informó que los piratas informáticos de Sandworm, un actor de amenazas de élite respaldado por el Kremlin, habían estado explotando una vulnerabilidad crítica de Exim para comprometer redes pertenecientes al gobierno de Estados Unidos y sus socios. Ahora que han salido a la luz nuevas vulnerabilidades de Exim, no sería sorprendente que los actores de amenazas esperen sacar provecho de ellas.