Los errores críticos de 21Nails Exim exponen a millones de servidores a ataques
Las vulnerabilidades críticas descubiertas recientemente en el software Mail Transfer Agent (MTA) de Exim permiten a atacantes remotos no autenticados ejecutar código arbitrario y obtener privilegios de root en servidores de correo con configuraciones predefinidas o comunes.
Los agujeros de seguridad (10 explotables de forma remota y 11 localmente) detectados e informados por el equipo de investigación de Qualys se conocen colectivamente como 21 uñas.
Todas las versiones publicadas antes de Exim 4.94.2 son vulnerables a ataques que intentan explotar las vulnerabilidades de 21Nails.
"Algunas de las vulnerabilidades se pueden encadenar para lograr la ejecución remota completa de código no autenticado y obtener privilegios de root en Exim Server", señaló Bharat Jogi, gerente senior de Qualys.
"Una de las vulnerabilidades descubiertas por el equipo de investigación de Qualys (CVE-2020-28017) afecta a todas las versiones de Exim que se remontan a 2004 (que se remontan al comienzo de su historia de Git hace 17 años)".
En la siguiente tabla incorporada se puede encontrar una lista de todas las vulnerabilidades de 21Nails descubiertas por Qualys.
| CVE | Descripción | amable |
|---|---|---|
| CVE-2020-28007 | Adjuntando el ataque en el directorio de registro de Exim | Local |
| CVE-2020-28008 | Ataques surtidos en el directorio de cola de Exim | Local |
| CVE-2020-28014 | Creando archivos arbitrarios y golpeando | Local |
| CVE-2021-27216 | Eliminación arbitraria de archivos | Local |
| CVE-2020-28011 | Desbordamiento del búfer de pila en queue_run () | Local |
| CVE-2020-28010 | Escritura del montón fuera de los límites en main () | Local |
| CVE-2020-28013 | Desbordamiento del búfer de pila en parse_fix_phrase () | Local |
| CVE-2020-28016 | Montón fuera de límites escribir en parse_fix_phrase () | Local |
| CVE-2020-28015 | Insertar una nueva línea en el archivo de encabezado de spool (local) | Local |
| CVE-2020-28012 | Falta el indicador close-on-exec para canalizaciones privilegiadas | Local |
| CVE-2020-28009 | Desbordamiento de enteros en get_stdinput () | Local |
| CVE-2020-28017 | Desbordamiento de enteros en receive_add_recipient () | Desde una distancia |
| CVE-2020-28020 | Desbordamiento de enteros en Receive_msg () | Desde una distancia |
| CVE-2020-28023 | Fuera de los límites leído en smtp_setup_msg () | Desde una distancia |
| CVE-2020-28021 | Inyectar una nueva línea en el archivo de encabezado de spool (remoto) | Desde una distancia |
| CVE-2020-28022 | Lectura y escritura fuera de límites del montón en extract_option () | Desde una distancia |
| CVE-2020-28026 | Truncamiento e inyección de línea en spool_read_header () | Desde una distancia |
| CVE-2020-28019 | No se puede restaurar el puntero de la función después de un error de BDAT | Desde una distancia |
| CVE-2020-28024 | Desbordamiento del búfer de montón en smtp_ungetc () | Desde una distancia |
| CVE-2020-28018 | Use-after-free en tls-openssl.c | Desde una distancia |
| CVE-2020-28025 | Montón fuera de límites leído en pdkim_finish_bodyhash () | Desde una distancia |
Los servidores Exim son un objetivo fácil
Los servidores MTA como Exim son un blanco fácil para los ataques ya que, en la mayoría de los casos, son accesibles en Internet y brindan a los atacantes un punto de entrada simple a la red de un objetivo.
"Una vez explotados, podrían cambiar la configuración de correo electrónico confidencial en los servidores de correo, permitiendo a los adversarios crear nuevas cuentas en los servidores de correo de destino", Qualys explicado.
Microsoft advirtió en junio de 2019 sobre un gusano de Linux activo dirigido al error CVE-2019-10149 Exim RCE, indicando que los servidores de Azure podrían ser pirateados abusando de la falla, aunque las mitigaciones existentes podrían bloquear la funcionalidad del malware del gusano.
Un mes después, los atacantes comenzaron a explotar servidores Exim vulnerables para instalar el troyano Watchbog Linux y agregarlos a una botnet de criptominería de Monero.
Por último, pero no menos importante, la Agencia de Seguridad Nacional (NSA) dijo en mayo de 2020 que el Gusano de arena Los piratas informáticos militares rusos han estado explotando la falla crítica Exim CVE-2019-10149 (The Return of the WIZard) desde al menos agosto de 2019.
Se insta a los usuarios a parchear de inmediato
Exim es el MTA predeterminado en las distribuciones de Debian Linux y actualmente el MTA más popular del mundo, según un encuesta del servidor de correo a partir del 1 de mayo de 2021.
Según la encuesta, está instalado en más del 59% de un total de 1.084.800 servidores de correo accesibles en Internet, lo que representa poco más de 344.026 servidores Exim.
Sin embargo, se encontró una búsqueda de BinaryEdge más de 3,564,945 servidores de correo Exim ejecución de versiones vulnerables expuestas a ataques en Internet.
Si no se corrige lo antes posible, todos estos servidores podrían ser víctimas de ataques de ejecución de comandos remotos entrantes si no se corrigen con urgencia contra las vulnerabilidades de 21Nails.
Por lo tanto, todos los usuarios de Exim deben actualizar a última versión de Exim disponible para bloquear cualquier ataque entrante dirigido a sus servidores vulnerables.
Si necesita actualizar desde una versión de Exim anterior a la 4.94, también tendrá que volver a trabajar la configuración de su servidor debido a problemas con * datos contaminados *, según el desarrollador de Exim, Heiko Schlittermann. "Esta es una medida de seguridad que introdujimos con 4.94", Él dijo.
"Alternativamente, puede usar la rama exim-4.94.2 + taintwarn. Esta rama rastrea las correcciones de exim-4.94.2 + y agrega una nueva opción de configuración principal (la opción ya está obsoleta y se ignorará en una versión futura de Exim): "allow_insecure_tainted_data".
"Esta opción convierte los errores de contaminación en advertencias (Debian está configurado para incluir este parche" taintwarn "en su versión Exim 4.94.2)."
Se pueden encontrar más detalles técnicos sobre cada una de las vulnerabilidades de 21Nail en Aviso de seguridad de Qualys.
Actualización: se agregó información sobre problemas de actualización de "datos contaminados".
Descubre más contenido