Los errores críticos de 21Nails Exim exponen a millones de servidores a ataques

Las vulnerabilidades críticas descubiertas recientemente en el software Mail Transfer Agent (MTA) de Exim permiten a atacantes remotos no autenticados ejecutar código arbitrario y obtener privilegios de root en servidores de correo con configuraciones predefinidas o comunes.

Los agujeros de seguridad (10 explotables de forma remota y 11 localmente) detectados e informados por el equipo de investigación de Qualys se conocen colectivamente como 21 uñas.

Todas las versiones publicadas antes de Exim 4.94.2 son vulnerables a ataques que intentan explotar las vulnerabilidades de 21Nails.

"Algunas de las vulnerabilidades se pueden encadenar para lograr la ejecución remota completa de código no autenticado y obtener privilegios de root en Exim Server", señaló Bharat Jogi, gerente senior de Qualys.

"Una de las vulnerabilidades descubiertas por el equipo de investigación de Qualys (CVE-2020-28017) afecta a todas las versiones de Exim que se remontan a 2004 (que se remontan al comienzo de su historia de Git hace 17 años)".

En la siguiente tabla incorporada se puede encontrar una lista de todas las vulnerabilidades de 21Nails descubiertas por Qualys.

CVE Descripción amable
CVE-2020-28007 Adjuntando el ataque en el directorio de registro de Exim Local
CVE-2020-28008 Ataques surtidos en el directorio de cola de Exim Local
CVE-2020-28014 Creando archivos arbitrarios y golpeando Local
CVE-2021-27216 Eliminación arbitraria de archivos Local
CVE-2020-28011 Desbordamiento del búfer de pila en queue_run () Local
CVE-2020-28010 Escritura del montón fuera de los límites en main () Local
CVE-2020-28013 Desbordamiento del búfer de pila en parse_fix_phrase () Local
CVE-2020-28016 Montón fuera de límites escribir en parse_fix_phrase () Local
CVE-2020-28015 Insertar una nueva línea en el archivo de encabezado de spool (local) Local
CVE-2020-28012 Falta el indicador close-on-exec para canalizaciones privilegiadas Local
CVE-2020-28009 Desbordamiento de enteros en get_stdinput () Local
CVE-2020-28017 Desbordamiento de enteros en receive_add_recipient () Desde una distancia
CVE-2020-28020 Desbordamiento de enteros en Receive_msg () Desde una distancia
CVE-2020-28023 Fuera de los límites leído en smtp_setup_msg () Desde una distancia
CVE-2020-28021 Inyectar una nueva línea en el archivo de encabezado de spool (remoto) Desde una distancia
CVE-2020-28022 Lectura y escritura fuera de límites del montón en extract_option () Desde una distancia
CVE-2020-28026 Truncamiento e inyección de línea en spool_read_header () Desde una distancia
CVE-2020-28019 No se puede restaurar el puntero de la función después de un error de BDAT Desde una distancia
CVE-2020-28024 Desbordamiento del búfer de montón en smtp_ungetc () Desde una distancia
CVE-2020-28018 Use-after-free en tls-openssl.c Desde una distancia
CVE-2020-28025 Montón fuera de límites leído en pdkim_finish_bodyhash () Desde una distancia
Índice()

    Los servidores Exim son un objetivo fácil

    Los servidores MTA como Exim son un blanco fácil para los ataques ya que, en la mayoría de los casos, son accesibles en Internet y brindan a los atacantes un punto de entrada simple a la red de un objetivo.

    "Una vez explotados, podrían cambiar la configuración de correo electrónico confidencial en los servidores de correo, permitiendo a los adversarios crear nuevas cuentas en los servidores de correo de destino", Qualys explicado.

    Microsoft advirtió en junio de 2019 sobre un gusano de Linux activo dirigido al error CVE-2019-10149 Exim RCE, indicando que los servidores de Azure podrían ser pirateados abusando de la falla, aunque las mitigaciones existentes podrían bloquear la funcionalidad del malware del gusano.

    Un mes después, los atacantes comenzaron a explotar servidores Exim vulnerables para instalar el troyano Watchbog Linux y agregarlos a una botnet de criptominería de Monero.

    Por último, pero no menos importante, la Agencia de Seguridad Nacional (NSA) dijo en mayo de 2020 que el Gusano de arena Los piratas informáticos militares rusos han estado explotando la falla crítica Exim CVE-2019-10149 (The Return of the WIZard) desde al menos agosto de 2019.

    Se insta a los usuarios a parchear de inmediato

    Exim es el MTA predeterminado en las distribuciones de Debian Linux y actualmente el MTA más popular del mundo, según un encuesta del servidor de correo a partir del 1 de mayo de 2021.

    Según la encuesta, está instalado en más del 59% de un total de 1.084.800 servidores de correo accesibles en Internet, lo que representa poco más de 344.026 servidores Exim.

    Sin embargo, se encontró una búsqueda de BinaryEdge más de 3,564,945 servidores de correo Exim ejecución de versiones vulnerables expuestas a ataques en Internet.

    Servidores Exim vulnerables
    Servidores Exim vulnerables

    Si no se corrige lo antes posible, todos estos servidores podrían ser víctimas de ataques de ejecución de comandos remotos entrantes si no se corrigen con urgencia contra las vulnerabilidades de 21Nails.

    Por lo tanto, todos los usuarios de Exim deben actualizar a última versión de Exim disponible para bloquear cualquier ataque entrante dirigido a sus servidores vulnerables.

    Si necesita actualizar desde una versión de Exim anterior a la 4.94, también tendrá que volver a trabajar la configuración de su servidor debido a problemas con * datos contaminados *, según el desarrollador de Exim, Heiko Schlittermann. "Esta es una medida de seguridad que introdujimos con 4.94", Él dijo.

    "Alternativamente, puede usar la rama exim-4.94.2 + taintwarn. Esta rama rastrea las correcciones de exim-4.94.2 + y agrega una nueva opción de configuración principal (la opción ya está obsoleta y se ignorará en una versión futura de Exim): "allow_insecure_tainted_data".

    "Esta opción convierte los errores de contaminación en advertencias (Debian está configurado para incluir este parche" taintwarn "en su versión Exim 4.94.2)."

    Se pueden encontrar más detalles técnicos sobre cada una de las vulnerabilidades de 21Nail en Aviso de seguridad de Qualys.

    Actualización: se agregó información sobre problemas de actualización de "datos contaminados".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir