Tri zero-day zraniteľnosti v softvéri Exim

Vývojársky tím Eximu vydal záplaty pre tri zero-day zraniteľností, na ktoré poukázala spoločnosť Trend Micro prostredníctvom Zero Day Initiative (ZDI). Úspešné zneužitie umožňuje vzdialené vykonávanie kódu na 3,5 milióna serveroch, ktoré by mohli byť ohrozené.

Zraniteľné systémy:

Exim systém verzie 4.0 – 4.96.

Opis činnosti:

CVE-2023-42115 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-42115 (vyžaduje nakonfigurovaný autentifikačný mechanizmus) sa nachádza v službe SMTP a umožňuje útočníkovi zapisovanie mimo povolené hodnoty v pamäti. Úspešné zneužitie zraniteľnosti je podmienené konfiguráciou servera na externú autentifikáciu a dovoľuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu.

CVE-2023-42116 (CVSS skóre 8,1) a CVE-2023-42117 (CVSS skóre 8,1)

Zraniteľnosti CVE-2023-42116 (vyžaduje nakonfigurovaný modul SPA) a CVE-2023-42117 (vyžaduje používanie Exim Proxy) sa nachádzajú v komponente služby SMTP challenge a vznikajú nedostatočným overením údajov počas spracovania protokolu NTLM. Chyba CVE-2023-42116 sa týka pretečenia vyrovnávacej pamäte zásobníka a umožňuje útočníkovi vykonávanie kódu. CVE-2023-42117 môže viesť k poškodeniu pamäte a zatiaľ nebola opravená.

CVE-2023-42114 (CVSS skóre 3,7)

CVE-2023-42114 (vyžaduje nakonfigurovaný modul SPA) sa týka nedostatočného overenia údajov počas spracovania protokolu NTLM.

Zoznam ďalších zero-day zraniteľností, ktoré nie sú opravené:

CVE-2023-42118 (CVSS skóre 7,5): Pretečenie celočíselnej premennej počas analýzy SPF makier. Môže viesť k úniku informácií.

CVE-2023-42119 (CVSS skóre 3,1): Čítanie mimo povolených hodnôt v službe SMTP.

V rámci svojej novovzniknutej služby pre zraniteľnosti Tarlogic ,aktívne monitorujú perimetrické zóny (firewally, bezpečnostné protokoly a politiky..) za účelom informovania a identifikovania prítomnosti zraniteľností, ako aj na iné kritické hrozby.

Závažnosť zraniteľností: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Poškodenie pamäte
  • Únik informácií

Odporúčania:

Bezodkladná aktualizácia na verziu Exim – 4.96.1 a 4.97.

Pokiaľ nemôžete službu Exim zastaviť, integrujte firewall pre obmedzenie prístupu k službe SMTP len pre dôveryhodné IP adresy. Skontrolujte podozrivé aktivity na protokoloch.

Aplikujte aktualizáciu, ktorú môžete vyhľadať na: https://git.exim.org/ a https://ftp.exim.org/pub/exim/exim4/.

Odkazy:

https://www.bleepingcomputer.com/news/security/exim-patches-three-of-six-zero-day-bugs-disclosed-last-week/

https://www.securityweek.com/unpatched-exim-vulnerabilities-expose-many-mail-servers-to-attacks/

https://thehackernews.com/2023/09/new-critical-security-flaws-expose-exim.html

https://socradar.io/zero-day-vulnerabilities-in-exim-email-server-risk-of-rce-cve-2023-42115-cve-2023-42116-cve-2023-42117-and-more/

https://www.tarlogic.com/blog/cve-2023-42115-exim-vulnerabilities/