Vulnerabilità RCE in Exim Internet Mailer

06/09/2019

cve-2019-15846 cve-2019-16928 exim tls Vulnerabilità

Exim, il popolare server di posta elettronica open-source, presenta una vulnerabilità critica legata all’esecuzione di codice in modalità remota, con un impatto che riguarda circa mezzo milione di server di posta che risultano potenzialmente vulnerabili ad attacchi da remoto. Si tratta di una nuova vulnerabilità, simile a quella già esaminata dal CERT-PA nel mese di giugno, alla quale è stato assegnato il  CVE-2019-15846.

Ne sono affetti i server Exim che accettano connessioni TLS, consentendo potenzialmente agli aggressori di ottenere l’accesso a livello di root al sistema “inviando un SNI che termina in una sequenza backslash-null durante l’handshake iniziale TLS”. SNI, acronimo di Server Name Indication, è un’estensione del protocollo TLS che consente al server di ospitare in modo sicuro più certificati TLS per più siti, tutti con un unico indirizzo IP.

Secondo il team di sicurezza Exim, poiché la vulnerabilità non dipende dalla libreria TLS utilizzata dal server, risultano interessati dalla vulnerabilità sia GnuTLS che OpenSSL.

Inoltre, anche se la configurazione predefinita del software del server di posta Exim non viene fornita con TLS abilitato, alcuni sistemi operativi raggruppano il software Exim con la funzione vulnerabile abilitata per impostazione predefinita.

La vulnerabilità è stata scoperta da un collaboratore open source e un ricercatore di sicurezza che segue l’alias online Zerons e analizzato dagli esperti di sicurezza informatica di Qualys i quali hanno dichiarato di avere un exploit funzionante sotto forma di Proof of Concept (PoC) progettato per mostrare che la vulnerabilità può essere sfruttata e che potrebbero esistere altri metodi di sfruttamento della stessa.

Il team di Exim consiglia agli amministratori di server di installare immediatamente l’ultima versione di Exim 4.92.2 e, se non è possibile, è possibile mitigare il problema impedendo ai server Exim senza patch di accettare connessioni TLS.

Aggiornamento del 01/10/2019

Gli sviluppatori di Exim hanno rilasciato un aggiornamento di sicurezza urgente, Exim versione 4.92.3, per risolvere una vulnerabilità di sicurezza critica che potrebbe consentire a un utente remoto di bloccare in modo anomalo servizi di posta o eseguire codice dannoso sugli stessi.

La fix è stata rilasciata per risolvere la vulnerabilità indicata nel CVE-2019-16928 che sfrutta un buffer overflow basato su heap in string_vformat (string.c). L’exploit attualmente conosciuto utilizza una stringa EHLO particolarmente lunga per bloccare il processo Exim che sta ricevendo il messaggio.

La vulnerabilità è stata segnalata da Jeremy Harris dell’Exim Development Team e riguarda tutte le versioni del software del server di posta elettronica Exim dalla 4.92 alla versione 4.92.2.

Lo stesso ricercatore ha pubblicato un PoC con l’exploit della vulnerabilità sul sito di Exim