Se sfruttata, questa vulnerabilità nella sicurezza di Exim potrebbe consentire agli aggressori di eseguire comandi a loro scelta sui server di posta vulnerabili.
I ricercatori di Qualys hanno scoperto che Exim, il noto software per il trasferimento di posta elettronica (MTA), contiene una vulnerabilità di livello critico che, in alcuni scenari, consente ad utenti remoti di eseguire comandi su server di posta privi di patch.
Documentato nel bollettino di sicurezza CVE-2019-10149, il bug nell’esecuzione di comandi remoti interessa le versioni di Exim dalla 4.87 alla 4.91 e viene corretto installando l’ultima versione (4.92) del software open-source, anche se, molto probabilmente la risoluzione del problema è da ritenersi puramente casuale. Infatti secondo Qualys il difetto “non era ancora stato identificato come una vulnerabilità di sicurezza” quando a febbraio è stata rilasciata l’ultima release.
Il software, che è responsabile del trasferimento dei messaggi da un computer a un altro, è installato su buona parte dei server di posta che sono visibili online, purtroppo più del 95% di questi sembra eseguire una delle versioni più vecchie e vulnerabili di Exim.
Sempre Qualys ritiene che il bug potrebbe consentire a utenti malintenzionati di eseguire comandi su un server Exim vulnerabile come utente root e addirittura di prenderne il completo controllo.
La vulnerabilità è “banalmente sfruttabile” da un malintenzionato che agisca localmente, anche attraverso un account con privilegi ridotti. L’aspetto più preoccupante, tuttavia, è la possibilità di attaccare il sistema da remoto attraverso questo bug, sia che si mantengano le impostazioni predefinite del software sia utilizzandone di personalizzate. Fortunatamente però questo tipo di hacking non è semplice da effettuare e richiede notevoli capacità tecniche.
“Questa vulnerabilità è sfruttabile immediatamente da un utente malintenzionato locale (e da un utente malintenzionato remoto in determinate configurazioni non predefinite). Per sfruttare a distanza questa vulnerabilità nella configurazione predefinita, l’utente deve mantenere aperta una connessione al server vulnerabile per 7 giorni (trasmettendo un byte ogni pochi minuti). Tuttavia, a causa dell’estrema complessità del codice di Exim, non possiamo garantire che questo metodo di sfruttamento sia unico; non escludiamo possano esistere metodi più veloci “.
Ulteriori dettagli su come sfruttare il bug presente nel software sono disponibili nel suddetto bollettino di sicurezza.
Nel frattempo, i responsabili di Exim hanno affermato che non ci sono prove di attacchi condotti sfruttando la vulnerabilità e che la patch “esiste già, sia in fase di test e che verrà rilasciata per tutte le versioni dalla 4.87 inclusa”.
Purtroppo questo non è il solo problema legato alle piattaforme di distribuzione della posta elettronica, proprio ultimamente sulle pagine di questo blog abbiamo potuto documentare i risultati dell’ultima ricerca ESET sul primo malware progettato specificamente per Microsoft Exchange, tutto ciò conferma quanto i server email siano sempre più nel mirino della criminalità informatica.
A fronte di queste minacce, ESET Italia consiglia a tutti gli amministratori di questi sistemi di mantenere costantemente aggiornate le versioni dei prodotti utilizzati e di proteggere i server mail con soluzioni di sicurezza specifiche e affidabili.
Lascia un commento