Višestruke sigurnosni propusti otkriveni su u Exim agentu za prijenos pošte koje bi, ako se uspješno iskoriste, mogle rezultirati otkrivanjem informacija i daljinskim izvršavanjem koda.
Lista nedostataka, koji su anonimno prijavljeni još u junu 2022. godine, je sljedeća –
- CVE-2023-42114 (CVSS score: 3.7) – Exim NTLM Challenge Out-Of-Bounds Read Information Disclosure Vulnerability
- CVE-2023-42115 (CVSS score: 9.8) – Exim AUTH Out-Of-Bounds Write Remote Code Execution Vulnerability
- CVE-2023-42116 (CVSS score: 8.1) – Exim SMTP Challenge Stack-based Buffer Overflow Remote Code Execution Vulnerability
- CVE-2023-42117 (CVSS score: 8.1) – Exim Improper Neutralization of Special Elements Remote Code Execution Vulnerability
- CVE-2023-42118 (CVSS score: 7.5) – Exim libspf2 Integer Underflow Remote Code Execution Vulnerability
- CVE-2023-42119 (CVSS score: 3.1) – Exim dnsdb Out-Of-Bounds Read Information Disclosure Vulnerability
Najozbiljnija ranjivost je CVE-2023-42115, koja omogućava udaljenim, neautorizovanim hakerima da izvrše proizvoljan kod na pogođenim instalacijama Exima.
“Specifična greška postoji unutar SMTP usluge, koja podrazumijevano sluša na TCP portu 25”, navodi se u upozorenju Zero Day Initiative objavljenom ove sedmice.
“Problem je rezultat nedostatka odgovarajuće validacije podataka koje je dostavio korisnik, što može rezultirati upisom nakon kraja bafera. Napadač može iskoristiti ovu ranjivost za izvršavanje koda u kontekstu naloga usluge.”
Ljudi koji održavaju Exim, u poruci podijeljenoj na Open Source Security mailing listi oss-security, kažu da su popravci za CVE-2023-42114, CVE-2023-42115 i CVE-2023-42116 “dostupni u zaštićenom repozitoriju i spremni za primjenu od strane održavatelja distribucije.”
“Preostali problemi su diskutabilni ili nam nedostaju informacije koje su nam potrebne da ih popravimo”, dodajući da je pitao ZDI za više detalja o problemima i da “nije dobio odgovore s kojima bismo mogli raditi” do maja 2023. Exim tim je dalje rekao da čekaju detalje o ostala tri nedostatka.
Međutim, ZDI je odbio tvrdnje o “neurednom rukovanju” i “nijedan tim nije pingovao drugog 10 mjeseci”, navodeći da je nekoliko puta kontaktirao programere.
“Nakon što je naš vremenski rok za otkrivanje prekoračen za mnogo mjeseci, obavijestili smo održavatelja o našoj namjeri da javno otkrijemo ove greške, a tada nam je rečeno, ‘radite ono što radite'”, navodi se.
“Ako su ove greške adekvatno riješene, ažurirat ćemo naše savjete linkom do sigurnosnog savjeta, prijave koda ili druge javne dokumentacije koja zatvara problem.”
U nedostatku zakrpa, ZDI preporučuje ograničavanje interakcije s aplikacijom kao jedinu “istaknutu” strategiju ublažavanja.
Ovo nije prvi put da su otkriveni sigurnosni propusti u široko korišćenom agentu za prijenos pošte. U maju 2021. Qualys je otkrio skup od 21 ranjivosti koje se zajednički prate kao 21Nails koje omogućavaju neautorizovanim hakerima da postignu potpuno daljinsko izvršavanje koda i dobiju root privilegije.
Prethodno je u maju 2020. godine američka vlada izvijestila da su hakeri povezani s Sandwormom, grupom iz Rusije koju sponzoriše država, iskorištavali kritičnu ranjivost Exim-a (CVE-2019-10149, CVSS rezultat: 9,8) za prodor u osjetljive mreže.
Razvoj također dolazi nakon nove studije istraživača sa Kalifornijskog univerziteta u San Diegu koja je otkrila novu tehniku zvanu forwarding-based spoofing koja iskorištava slabosti u prosljeđivanju e-pošte za slanje poruka koje se lažno predstavljaju kao legitimni entiteti, čime se ugrožava integritet.
“Originalni protokol korišten za provjeru autentičnosti e-pošte implicitno pretpostavlja da svaka organizacija upravlja svojom infrastrukturom za slanje pošte, sa specifičnim IP adresama koje ne koriste drugi domeni”, pokazalo je istraživanje.
“Ali danas, mnoge organizacije predaju svoju infrastrukturu e-pošte na Gmail i Outlook. Kao rezultat toga, hiljade domena su delegirale pravo slanja e-pošte u svoje ime istoj trećoj strani. Dok ovi dobavljači trećih strana potvrđuju da njihovi korisnici samo šalju e-pošte u ime domena kojima upravljaju, ova zaštita se može zaobići prosljeđivanjem e-pošte.”
Izvor: The Hacker News