Una grave vulnerabilità zero-day presente in tutte le versioni del software Exim mail transfer agent (MTA) può permettere ad aggressori non autenticati di ottenere l'esecuzione di codice remoto (RCE) su server esposti su Internet. Scoperta da un ricercatore di sicurezza anonimo e divulgata tramite l'iniziativa Zero Day di Trend Micro, il bug di sicurezza (CVE-2023-42115) è dovuto a una debolezza di scrittura fuori limite nel servizio SMTP.

Dettagli della vulnerabilità

Il difetto specifico esiste all'interno del servizio smtp, che ascolta sulla porta TCP 25 per impostazione predefinita. L'errore deriva dalla mancanza di una valida convalida dei dati forniti dall'utente, che può risultare in una scrittura oltre la fine di un buffer. Un aggressore può sfruttare questa vulnerabilità per eseguire codice nel contesto dell'account di servizio.

Mancata risposta dal Team di Exim

Nonostante ZDI abbia segnalato la vulnerabilità al team di Exim già nel giugno 2022 e abbia risentito il team a maggio 2023, gli sviluppatori non hanno fornito aggiornamenti sul progresso della patch, portando ZDI a pubblicare un avviso il 27 settembre, con dettagli sullo zero-day CVE-2023-42115.

Milioni di server esposti agli attacchi

I server MTA come Exim sono obiettivi altamente vulnerabili, principalmente perché spesso accessibili via Internet, fungendo da facili punti di ingresso per gli aggressori nella rete di un obiettivo. Secondo un sondaggio, Exim è installato su più del 56% di un totale di 602.000 server di posta raggiungibili su Internet, rappresentando poco oltre 342.000 server Exim.

Consigli per la mitigazione

Mentre una patch non è ancora disponibile per proteggere i server Exim vulnerabili contro potenziali attacchi, ZDI ha consigliato agli amministratori di limitare l'accesso remoto da Internet per sventare tentativi di sfruttamento in arrivo.

Intellexa, un'azienda israeliana di software spia, ha sfruttato tre vulnerabilità zero-day di Apple e una di Chrome per sviluppare una catena di exploit mirata a organizzazioni egiziane. Questo attacco ha permesso l'installazione del loro spyware “Predator” su dispositivi iPhone e Android.

Dettagli dell'attacco

L'attacco è iniziato con attacchi di tipo man-in-the-middle (MITM), intercettando gli utenti mentre tentavano di accedere a siti http. Gli utenti venivano poi reindirizzati verso un sito controllato dagli attaccanti, dove, se l'utente catturato era il bersaglio inteso, veniva reindirizzato a un secondo dominio dove veniva attivato l'exploit. Intellexa ha utilizzato tre vulnerabilità zero-day, ora corrette con l'aggiornamento iOS 17.0.1, per eseguire codice remoto, bypassare la validazione dei certificati e ottenere un aumento dei privilegi nel kernel del dispositivo.

L'Exploit su Android

Anche i telefoni Android sono stati presi di mira da Intellexa, utilizzando attacchi MITM e link inviati direttamente ai bersagli. In questo caso, è stata sfruttata una singola vulnerabilità in Google Chrome, che permetteva agli attaccanti di eseguire codice arbitrario su una macchina ospite tramite una pagina HTML appositamente creata.

Implicazioni e conseguenze

Questi attacchi rappresentano un ulteriore esempio dei danni causati dai fornitori di software di sorveglianza commerciale e delle minacce che essi rappresentano non solo per gli individui, ma per la società nel suo complesso. La scoperta di questi exploit costringerà gli attaccanti a sostituire quattro delle loro vulnerabilità zero-day, costando loro tempo, denaro e risorse.

Il gruppo di hacker nordcoreano ‘Lazarus' ha preso di mira i dipendenti di un'azienda aerospaziale situata in Spagna, utilizzando false opportunità di lavoro per infiltrarsi nella rete aziendale con un backdoor precedentemente sconosciuto chiamato ‘LightlessCan'. Gli hacker hanno utilizzato la loro campagna in corso “Operation Dreamjob”, avvicinando un obiettivo su LinkedIn e ingaggiando un falso processo di reclutamento che, a un certo punto, ha richiesto alla vittima di scaricare un file.

Catena di attacco Lazarus

L'attacco è iniziato con un messaggio LinkedIn da un attore di Lazarus che fingeva di essere un reclutatore di Meta (Facebook) di nome Steve Dawson. In seguito, alla vittima è stato chiesto di dimostrare la sua competenza in programmazione C++ scaricando alcuni quiz condivisi come eseguibili all'interno di file ISO. Una volta lanciati questi eseguibili, un payload aggiuntivo è stato silenziosamente rilasciato sul computer della vittima, permettendo agli hacker di infiltrarsi nella rete aziendale per condurre cyber spionaggio.

Backdoor LightlessCan

Secondo ESET, LightlessCan è il successore di BlindingCan, basato su somiglianze nel codice sorgente e nell'ordinamento dei comandi, presentando una struttura di codice più sofisticata e una funzionalità migliorata. La versione campionata dall'attacco all'organizzazione aerospaziale spagnola è la 1.0, con supporto per 43 comandi. Tuttavia, ESET afferma che ci sono altri 25 comandi nel codice che non sono ancora stati implementati.

Conclusione

La scoperta sottolinea che l'Operation Dreamjob di Lazarus non è guidata solo da obiettivi finanziari, come il furto di criptovalute, ma comprende anche obiettivi di spionaggio. Inoltre, l'introduzione di un nuovo payload sofisticato, il LightlessCan, è uno sviluppo preoccupante per le organizzazioni che potrebbero trovarsi nel mirino del gruppo di minacce nordcoreano.