Ques/Help/Req Сотням тысяч серверов Exim угрожает критический баг

[XakeR]

Специалисты Trend Micro Zero Day Initiative (ZDI) предупредили сразу о нескольких уязвимостях в агенте пересылки сообщений Exim. Самая серьезная из этих проблем затрагивает все версии Exim и позволяет добиться удаленного выполнения кода без аутентификации.

Ситуация усугубляется тем, что Exim используют сотни тысяч или даже миллионы почтовых серверов по всему миру. Так, согласно данным Security Space, Exim установлен более чем на 56% почтовых серверов (342 337), обнаруженных в интернете. По информации Shodan, в мире и вовсе насчитывается более 3,5 млн серверов с Exim на борту.

Уязвимость CVE-2023-42115 (9,8 балла по шкале CVSS) была обнаружена исследователем, который предпочел остаться неизвестным. Проблема связана с out-of-bounds записью в компоненте Exim, который отвечает за аутентификацию, и может использоваться для удаленного выполнения кода или команд на уязвимых серверах.

«Уязвимость связана со службой smtp, которая по умолчанию прослушивает TCP-порт 25, — сообщают специалисты ZDI. — Проблема возникает из-за отсутствия надлежащей проверки предоставляемых пользователем данных, что может привести к записи за пределы буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы».

При этом бюллетень безопасности гласит, что эксперты ZDI уведомили разработчиков Exim об этой уязвимости еще в июне 2022 года, а также повторно отправили информацию о проблеме по их запросу мае 2023 года. Однако разработчики так и не предоставили никакой информации о работе над патчем. В итоге в ZDI приняли решение обнародовать информацию об этой проблеме.

Помимо этого 0-day бага в ZDI раскрыли информацию сразу о пяти других уязвимостях в Exim:

Лишь после публикации этого длинного списка багов, один из разработчиков Exim сообщил в рассылке OSS-Sec, что исправления для двух наиболее опасных уязвимостей (а также для третьей, менее серьезной) уже доступны в «защищенном репозитории и готовы к применению сопровождающими дистрибутива».

Более подробной информации о патчах, а также о том, как именно администраторы их получат, не поступало. Также неизвестно, существуют ли какие-то иные средства защиты от перечисленных проблем для тех, кто не сможет установить исправления сразу.

При этом в упомянутой рассылке разработчики Exim подтверждают, что получили первый приватный отчет от ZDI еще в июне 2022 года, после чего запросили дополнительные подробности, «но не получили ответов, с которыми можно было бы работать».

Следующий контакт между ZDI и разработчиками состоялся только в мае 2023 года, и после этого началась работа над патчами для трех из шести уязвимостей. «Остальные проблемы являются спорными или не содержат информации, необходимой для их устранения», — пишут разработчики.

В свою очередь в ZDI отвечают, что сроки раскрытия информации и так были превышены на многие месяцы.

«Мы уведомили сопровождающих о нашем намерении публично раскрыть информацию об этих ошибках, после чего нам ответили: “делайте, что делаете”, — сообщают в ZDI. — Если ошибки будут надлежащим образом устранены, мы обновим наши рекомендации, добавив ссылки на бюллетени безопасности, проверки и любую другую общедоступную документацию, связанную с этими проблемами».

Пока в ZDI советуют администраторам ограничить удаленный доступ из интернета, чтобы предотвратить вероятные попытки взлома.

В итоге и специалисты ZDI и разработчики Exim подверглись критике со стороны ИБ-специалистов. К примеру, эксперт, известный под ником Solar Designer, пишет:

«Похоже, к этим уязвимостям отнеслись небрежно как на стороне ZDI, так и на стороне Exim. Ни одна из команд не пинговала другую в течение 10 месяцев, а Exim потребовалось четыре месяца, чтобы исправить даже те две проблемы, по которым они получили достаточную информацию».

 

[AI G]

Разработчики Exim столкнулись с критическими уязвимостями в своем агенте пересылки сообщений, которые могут привести к удаленному выполнению кода без аутентификации. Самая серьезная из этих уязвимостей, CVE-2023-42115, затрагивает все версии Exim и получила рейтинг 9,8 по шкале CVSS. Проблема связана с отсутствием надлежащей проверки предоставляемых пользователем данных, что может привести к записи за пределы буфера и, в результате, к удаленному выполнению кода или команд на уязвимом сервере.

Эта уязвимость особенно опасна, так как Exim установлен на сотни тысяч или даже миллионы почтовых серверов по всему миру. По данным Security Space, Exim установлен на более чем 56% почтовых серверов, обнаруженных в интернете. Количество серверов с Exim на борту, согласно информации Shodan, превышает 3,5 миллиона.

Специалисты Trend Micro Zero Day Initiative (ZDI) предупредили разработчиков Exim об этой уязвимости еще в июне 2022 года, однако разработчики не предоставили информацию о работе над патчем. В результате, ZDI решили обнародовать информацию о проблеме. После этого, один из разработчиков Exim сообщил, что исправления уже доступны в «защищенном репозитории и готовы к применению». Однако, неизвестно, как администраторы смогут получить эти патчи, и существуют ли альтернативные средства защиты для тех, кто не может установить патчи немедленно.

Помимо уязвимости CVE-2023-42115, ZDI раскрыли информацию еще о пяти других уязвимостях в Exim. Сроки раскрытия информации о проблемах были превышены на многие месяцы, что вызвало критику от ИБ-специалистов. Задержка в устранении уязвимостей и несвоевременный обмен информации между ZDI и разработчиками Exim были обозначены как причины возникновения данной ситуации.

В связи с этим, ZDI рекомендуют администраторам ограничить удаленный доступ к серверам Exim из интернета, чтобы предотвратить попытки взлома.

В целом, данная ситуация подчеркивает важность грамотного и своевременного управления безопасностью программного обеспечения и необходимость сотрудничества между исследователями безопасности и разработчиками для быстрого устранения уязвимостей.