Vulnerabilità RCE in Exim Internet Mailer

06/09/2019

cve-2019-15846 exim tls Vulnerabilità

Exim, il popolare server di posta elettronica open-source, presenta una vulnerabilità critica legata all’esecuzione di codice in modalità remota, con un impatto che riguarda circa mezzo milione di server di posta che risultano potenzialmente vulnerabili ad attacchi da remoto. Si tratta di una nuova vulnerabilità, simile a quella già esaminata dal CERT-PA nel mese di giugno, alla quale è stato assegnato il  CVE-2019-15846.

Ne sono affetti i server Exim che accettano connessioni TLS, consentendo potenzialmente agli aggressori di ottenere l’accesso a livello di root al sistema “inviando un SNI che termina in una sequenza backslash-null durante l’handshake iniziale TLS”. SNI, acronimo di Server Name Indication, è un’estensione del protocollo TLS che consente al server di ospitare in modo sicuro più certificati TLS per più siti, tutti con un unico indirizzo IP.

Secondo il team di sicurezza Exim, poiché la vulnerabilità non dipende dalla libreria TLS utilizzata dal server, risultano interessati dalla vulnerabilità sia GnuTLS che OpenSSL.

Inoltre, anche se la configurazione predefinita del software del server di posta Exim non viene fornita con TLS abilitato, alcuni sistemi operativi raggruppano il software Exim con la funzione vulnerabile abilitata per impostazione predefinita.

La vulnerabilità è stata scoperta da un collaboratore open source e un ricercatore di sicurezza che segue l’alias online Zerons e analizzato dagli esperti di sicurezza informatica di Qualys i quali hanno dichiarato di avere un exploit funzionante sotto forma di Proof of Concept (PoC) progettato per mostrare che la vulnerabilità può essere sfruttata e che potrebbero esistere altri metodi di sfruttamento della stessa.

Il team di Exim consiglia agli amministratori di server di installare immediatamente l’ultima versione di Exim 4.92.2 e, se non è possibile, è possibile mitigare il problema impedendo ai server Exim senza patch di accettare connessioni TLS.