Vulnerabilidad crítica RCE en EXIM.

Exim (EXperimental Internet Mailer) es un agente de transporte de correo electrónico o MTA utilizado por más de la mitad de los servidores de email en Internet.
Es software libre que se distribuye bajo la licencia GNU GPL, y se distribuye como el MTA por defecto en muchas distribuciones GNU/Linux, como por ejemplo Debian.

A finales del pasado mes de julio el investigador Zerons descubrió una vulnerabilidad crítica de ejecución remota de código (RCE) en el popular servidor de correo electrónico de código abierto EXIM dicha vulnerabilidad ha recibido el identificador CVE-2019-15846 y se ha hecho público el 6 de septiembre.

Esta vulnerabilidad deja al menos más de medio millón de servidores de correo electrónico vulnerables a atacantes remotos y permitiría ejecutar programas con privilegios de root en aquellos servidores que aceptan conexiones TLS.
Para explotar la vulnerabilidad en las configuraciones por defecto se estaría utilizando una solicitud SNI especialmente manipulada, mientras que en otras configuraciones se podría realizar mediante un certificado de cliente falsificado.

La vulnerabilidad solo afecta a los servidores Exim que aceptan conexiones TLS, lo que potencialmente permite a los atacantes obtener acceso de nivel root al sistema “al enviar un SNI que termina en una barra invertida durante el handshake TLS inicial”.

Según el equipo de Exim, dado que la vulnerabilidad no depende de la biblioteca TLS utilizada por el servidor, GnuTLS y OpenSSL se ven afectados.

Además, aunque la configuración predeterminada del software del servidor de correo Exim no viene con TLS habilitado, algunos sistemas operativos incluyen el software Exim con la función vulnerable habilitada de manera predeterminada.

¿Qué es un SNI?

SNI (Sever Name Indication) es una extensión del protocolo TLS diseñado para permitir que los servidores alojen de manera segura diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP.

Sin embargo, una búsqueda de instancias de Exim en Shodan muestra alrededor de 5,25 millones de resultados, con mas de 3,5 millones instancias en ejecución usando Exim 4.92. Cabe destacar que se encuentran afectadas las versiones de Exim comprendidas entre la 4.80 y la 4.92.1, ambas incluidas.

Resultado de imagen para EXIM hacked

Recordemos que …

Hace solo tres meses, Exim parcheó otra grave vulnerabilidad de ejecución remota de comandos, rastreada como CVE-2019-10149, que fue explotada activamente por varios grupos de delincuentes informáticos para comprometer servidores vulnerables.

Exim avisa:

Los mantenedores de Exim lanzaron hoy la versión 4.92.2 de Exim después de publicar una advertencia temprana hace dos días, dando a los administradores del sistema un aviso de sus próximos parches de seguridad que afectan a todas las versiones del software del servidor de correo electrónico hasta la última versión 4.92.1.

A los administradores de servidores instalar la última versión de Exim 4.92.2 de inmediato, y si no es posible, pueden mitigar el problema al no permitir que los servidores Exim sin parches acepten conexiones TLS.
Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de hallarlo, la conexión se rechazaría para bloquear el vector de ataque.

Comments are closed.