Una grave vulnerabilità zero-day presente in tutte le versioni del software Exim mail transfer agent (MTA) può permettere ad aggressori non autenticati di ottenere l’esecuzione di codice remoto (RCE) su server esposti su Internet. Scoperta da un ricercatore di sicurezza anonimo e divulgata tramite l’iniziativa Zero Day di Trend Micro, il bug di sicurezza (CVE-2023-42115) è dovuto a una debolezza di scrittura fuori limite nel servizio SMTP.
Dettagli della vulnerabilità
Il difetto specifico esiste all’interno del servizio smtp, che ascolta sulla porta TCP 25 per impostazione predefinita. L’errore deriva dalla mancanza di una valida convalida dei dati forniti dall’utente, che può risultare in una scrittura oltre la fine di un buffer. Un aggressore può sfruttare questa vulnerabilità per eseguire codice nel contesto dell’account di servizio.
Mancata risposta dal Team di Exim
Nonostante ZDI abbia segnalato la vulnerabilità al team di Exim già nel giugno 2022 e abbia risentito il team a maggio 2023, gli sviluppatori non hanno fornito aggiornamenti sul progresso della patch, portando ZDI a pubblicare un avviso il 27 settembre, con dettagli sullo zero-day CVE-2023-42115.
Milioni di server esposti agli attacchi
I server MTA come Exim sono obiettivi altamente vulnerabili, principalmente perché spesso accessibili via Internet, fungendo da facili punti di ingresso per gli aggressori nella rete di un obiettivo. Secondo un sondaggio, Exim è installato su più del 56% di un totale di 602.000 server di posta raggiungibili su Internet, rappresentando poco oltre 342.000 server Exim.
Consigli per la mitigazione
Mentre una patch non è ancora disponibile per proteggere i server Exim vulnerabili contro potenziali attacchi, ZDI ha consigliato agli amministratori di limitare l’accesso remoto da Internet per sventare tentativi di sfruttamento in arrivo.