.
Imagens Getty
Milhares de servidores que executam o agente de transferência de correio Exim são vulneráveis a ataques potenciais que exploram vulnerabilidades críticas, permitindo a execução remota de código malicioso com pouca ou nenhuma interação do usuário.
As vulnerabilidades foram relatadas na quarta-feira pela Zero Day Initiative, mas passaram despercebidas até sexta-feira, quando surgiram em uma lista de e-mail de segurança. Quatro dos seis bugs permitem a execução remota de código e carregam classificações de gravidade de 7,5 a 9,8 em 10 possíveis. A Exim disse que fez patches para três das vulnerabilidades disponíveis em um repositório privado. O status dos patches para as três vulnerabilidades restantes – duas das quais permitem RCE – é desconhecido. Exim é um agente de transferência de correio de código aberto usado por até 253.000 servidores na Internet.
“Manuseio desleixado” em ambos os lados
A ZDI não forneceu nenhuma indicação de que o Exim publicou patches para qualquer uma das vulnerabilidades e, no momento em que esta postagem foi publicada no Ars, o site do Exim não fez menção a nenhuma das vulnerabilidades ou patches. Na lista de e-mail OSS-Sec na sexta-feira, um membro da equipe do projeto Exim disse que as correções para duas das vulnerabilidades mais graves e uma terceira, menos grave, estão disponíveis em um “repositório protegido e estão prontas para serem aplicadas pelos mantenedores da distribuição”. ”
Não houve mais detalhes sobre as correções, exatamente como os administradores as obtêm ou se há mitigações disponíveis para aqueles que não conseguem corrigi-las imediatamente. Os membros da equipe do projeto Exim não responderam a um e-mail solicitando informações adicionais.
A mais grave das vulnerabilidades, rastreada como CVE-2023-42115, está entre aquelas que o membro da equipe Exim disse ter sido corrigida. A ZDI descreveu isso como uma falha fora dos limites em um componente Exim que lida com autenticação.
“Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas do Exim”, afirmou o comunicado de quarta-feira. “A autenticação não é necessária para explorar esta vulnerabilidade.”
Outra vulnerabilidade corrigida, rastreada como CVE-2023-42116, é um estouro baseado em pilha no componente de desafio Exim. Sua classificação de gravidade é 8,1 e também permite RCE.
“A falha específica existe no tratamento de solicitações de desafio NTLM”, disse ZDI. “O problema resulta da falta de validação adequada do comprimento dos dados fornecidos pelo usuário antes de copiá-los para um buffer baseado em pilha de comprimento fixo. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto da conta de serviço.”
A terceira vulnerabilidade corrigida é rastreada como CVE-2023-42114, que permite a divulgação de informações confidenciais. Ele carrega uma classificação de 3,7.
Alguns críticos criticaram o projeto Exim por não divulgar as vulnerabilidades de forma transparente. Para adicionar mais combustível às críticas, as divulgações da ZDI forneceram um cronograma que indicava que os representantes da empresa notificaram os membros do projeto Exim sobre as vulnerabilidades em junho de 2022. Várias interações de ida e volta ocorreram nos meses seguintes, até que a ZDI as divulgou na quarta-feira.
Em uma postagem na sexta-feira na lista de e-mail OSS-Sec, Heiko Schlittermann, membro da equipe do projeto Exim, disse que depois de receber o relatório privado da ZDI em junho de 2022, os membros da equipe pediram detalhes adicionais “mas não obtiveram respostas com as quais pudéssemos trabalhar”. .” O próximo contato não ocorreu até maio de 2023. “Logo após esse contato, criamos o rastreador de bugs do projeto para 3 dos 6 problemas”, disse Schlittermann. “Os problemas restantes são discutíveis ou faltam informações de que precisamos para corrigi-los.”
Algumas pessoas que participaram da discussão criticaram ambos os lados.
“Isso parece um tratamento desleixado desses problemas até agora por parte da ZDI e do Exim – nenhuma equipe fez ping na outra por 10 meses, e então o Exim levou 4 meses para corrigir até mesmo os 2 problemas de alta pontuação sobre os quais tinha informações suficientes”, o distinto escreveu um pesquisador de segurança conhecido como Solar Designer. “O que você está fazendo para melhorar o manuseio a partir de agora?”
O crítico também perguntou a Schlittermann quando as distribuições de sistema operacional terão permissão para tornar públicas as atualizações do Exim, uma vez que as correções estão atualmente em um repositório protegido. “Eu sugiro que você defina uma data/hora específica, por exemplo, daqui a 2 dias, quando o projeto Exim fará o repositório e as entradas de bug corrigidas… distros públicas _e_ lançarão atualizações.”
Ninguém do Exim respondeu a essas perguntas ou, como mencionado anteriormente, às perguntas enviadas por Ars por e-mail logo depois.
Com apenas um número limitado de detalhes disponíveis tão tarde na sexta-feira, a correção e possíveis mitigações podem não ser tão simples quanto alguns administradores poderiam esperar. Apesar de quaisquer dificuldades potenciais, as vulnerabilidades parecem graves. Em 2020, a Agência de Segurança Nacional informou que os hackers do Sandworm, um ator de ameaças de elite apoiado pelo Kremlin, tinham explorado uma vulnerabilidade crítica do Exim para comprometer redes pertencentes ao governo dos EUA e aos seus parceiros. Agora que novas vulnerabilidades do Exim vieram à tona, não seria surpreendente se os atores da ameaça esperassem capitalizá-las.
.
