Exim-mailservere i risiko for RCE-angreb

0-dagssårbarhed i Exim-mailservere rettet over et år efter at sårbarhederne blev indrapporteret.

En kritisk 0-dagssårbarhed i alle versioner af Exim Mail Transfer Agent (MTA) software før version 4.96.1 kan lade uautentificerede angribere afvikle kode fra ’remote’ (RCE) på internet-eksponerede servere.

Det skriver Bleeping Computer i en artikel, der i sin omtale af sagen afdækker, at producenten først rettede sårbarheden et år efter, at researcherne bag fundet gjorde opmærksom på den.

Exim er en ’message transfer agent’ (MTA), som er udviklet til brug på Unix-systemer forbundet til internettet. Det er en open source-software, udviklet af University of Cambridge, der ifølge Tarlogic er meget brugt som et alternativ til Sendmail. Det er standard MTA i Debian-distributioner og den mest populære på internettet ifølge MX Mail Server Survey med en installationsrate på 57 pct.

Sårbarheden blev angiveligt rapporteret til Exim-projektet af Zero Day Initiative (ZDI) allerede i juni sidste år. At producenten ikke har gjort noget før nu, er uklart, men i al fald er det sket nu, efter at ZDI besluttede sig for at oplyse omverdenen om 0-dagssårbarhederne og altså ikke vente længere. I samme forbindelse afslørede ZDI også andre sårbarheder, som dog ikke er så kritiske.

Det fremgår af Bleeping Computers omtale af sagen, at den første kontakt blev forsøgt etableret den 6. juni 2022, mens selve sårbarhederne blev rapporteret en uges tid efter. I april 2023 anmodede ZDI om en opdatering, hvorefter sårbarhederne blev genfremsendt til producenten. Den 25. september oplyste ZDI om, at sårbarhederne ville blive publiceret som 0-dagssårbarheder den 27. september. Herefter kom rettelsen.

Der findes ifølge Bleeping Computer millioner af servere, der er udsat for sårbarhederne.

Links:

https://www.tarlogic.com/blog/cve-2023-42115-exim-vulnerabilities/

https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/