Vulnerabilità RCE affligge i server di posta Exim

06/06/2019

exim Linux rce Vulnerabilità

Ieri i ricercatori della società di sicurezza Qualys hanno pubblicato i dettagli di una grave vulnerabilità di tipo RCE (remote code execution) che riguarda i server di posta Exim (dalla v. 4.87 alla 4.91 inclusa) tramite la quale un utente malintenzionato, locale o remoto, può eseguire comandi sul server Exim con privilegi di amministratore.

Exim è un server posta open-source sviluppato dall’Università di Cambridge, utilizzato su sistemi operativi di tipo Unix e ampiamente diffuso tra i service provider, istituzioni pubbliche e aziende. In particolare Exim4 è un MTA (Message Transfer Agent, agente di trasferimento messaggi) fornito in modo predefinito sui sistemi Debian GNU / Linux.

In base a un report di Security Space, i server Exim rappresentano più della metà (più di 5 milioni) di tutti i server di posta visibili su Internet. In Italia sono circa 14.000 (fonte Shodan e ZoomEye), mentre il numero di quelli vulnerabili si attesta sui 9.857, con l’80% rappresentato dalla versione 4.91.

La criticità, tracciata con l’identificativo CVE-2019-10149 e con il nome “Return of the WIZard” da Qualys, può essere sfruttata sia localmente con account con privilegi ridotti sia da remoto. In quest’ultimo caso l’attaccante dovrà mantenere una connessione aperta con il server per 7 giorni, trasmettendo un byte a intervalli di tempo di pochi minuti. In realtà, secondo le dichiarazioni dei ricercatori di Qualys, a causa dell’estrema complessità del codice di Exim, potrebbero esserci metodi alternativi anche più veloci, soprattutto quando il software si trova in configurazioni non predefinite, così come dichiarato dal team del progetto Openwall che ha recentemente pubblicato il codice atto a riprodurre la criticità.

Remediation

Considerata la diffusione di questo servizio di posta e la sua esposizione alla rete Internet, il CERT-PA consiglia di aggiornare Exim alla versione 4.92 e di applicare le patch di sicurezza fornite dai vari sistemi operativi linux-based (es. Debian, Red-Hat).

Riferimenti