Une vulnérabilité critique de type Zero Day dans toutes les versions du logiciel Exim Mail Transfer Agent (MTA) peut permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance (RCE) sur des serveurs exposés à Internet.

Trouvé par un chercheur en sécurité anonyme et divulgué via l’Initiative Zero Day (ZDI) de Trend Micro, le bug de sécurité (CVE-2023-42115) est dû à une faiblesse d’écriture hors limites trouvée dans le service SMTP.

Bien que ce type de problème puisse entraîner des pannes logicielles ou une corruption des données suite à une exploitation réussie, il peut également être exploité par des attaquants pour l’exécution de code ou de commandes sur des serveurs vulnérables.

« La faille spécifique existe au sein du service smtp, qui écoute par défaut sur le port TCP 25 », explique un avis de sécurité ZDI publié mercredi.

« Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner une écriture au-delà de la fin d’un tampon. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service. »

Alors que ZDI a signalé la vulnérabilité à l’équipe Exim en juin 2022 et n’a pas envoyé d’informations sur la faille à la demande du fournisseur en mai 2023, les développeurs n’ont pas réussi à fournir une mise à jour sur la progression de leur correctif.

En conséquence, ZDI a publié un avis le 27 septembre, avec des détails sur le jour zéro CVE-2023-42115 et une chronologie complète de tous les échanges avec l’équipe Exim.

Des millions de serveurs exposés aux attaques
Les serveurs MTA comme Exim sont des cibles très vulnérables, principalement parce qu’ils sont souvent accessibles via Internet, servant de points d’entrée faciles pour les attaquants dans le réseau d’une cible.

L’Agence de sécurité nationale (NSA) a déclaré il y a trois ans, en mai 2020, que le célèbre groupe de piratage militaire russe Sandworm exploitait la faille critique CVE-2019-10149 (The Return of the WIZard) Exim depuis au moins août 2019.

Exim est également le MTA par défaut sur les distributions Debian Linux et le logiciel MTA le plus populaire au monde, selon une enquête sur les serveurs de messagerie réalisée début septembre 2023.

Selon l’enquête, Exim est installé sur plus de 56 % d’un total de 602 000 serveurs de messagerie accessibles sur Internet, ce qui représente un peu plus de 342 000 serveurs Exim.

Un peu plus de 3,5 millions de serveurs Exim sont actuellement exposés en ligne grâce à une recherche Shodan, la plupart aux États-Unis, suivis par la Russie et l’Allemagne.

Serveurs Exim vulnérables

Bien qu’aucun correctif ne soit encore disponible pour sécuriser les serveurs Exim vulnérables contre les attaques potentielles, ZDI a conseillé aux administrateurs de restreindre l’accès à distance depuis Internet pour contrecarrer les tentatives d’exploitation entrantes.

« Compte tenu de la nature de la vulnérabilité, la seule stratégie d’atténuation importante consiste à restreindre l’interaction avec l’application », a prévenu ZDI.

Correctifs privés et autres bugs en attente d’un correctif
ZDI a également divulgué cette semaine cinq autres jours zéro Exim avec des niveaux de gravité inférieurs, étiquetés comme étant de gravité élevée et moyenne :

  • CVE-2023-42116 : Vulnérabilité d’exécution de code à distance par débordement de mémoire tampon basée sur la pile de défi SMTP Exim (CVSS v3.0 8.1)
  • CVE-2023-42117 : Vulnérabilité d’exécution de code à distance liée à la neutralisation incorrecte d’éléments spéciaux dans Exim (CVSS v3.0 8.1)
  • CVE-2023-42118 : Vulnérabilité d’exécution de code à distance en cas de dépassement d’entier excessif dans Exim libspf2 (CVSS v3.0 7.5)
  • CVE-2023-42119 : Vulnérabilité de divulgation d’informations de lecture hors limites dans Exim dnsdb (CVSS v3.0 3.1)
  • CVE-2023-42114 : Vulnérabilité de divulgation d’informations de lecture hors limites lors du défi Exim NTLM (CVSS v3.0 3.7)

Le développeur d’Exim, Heiko Schlittermann, a révélé sur la liste de diffusion Open Source Security (oss-sec) après la publication de cet article que « des correctifs sont disponibles dans un référentiel protégé » pour CVE-2023-42114, CVE-2023-42115 et CVE-2023-. 42116, et sont « prêts à être appliqués par les responsables de la distribution ».

« Les problèmes restants sont discutables ou manquent d’informations dont nous avons besoin pour les résoudre. Nous serons plus qu’heureux de fournir des correctifs pour tous les problèmes dès que nous recevrons des informations détaillées », a ajouté Schlittermann.

Un représentant de ZDI a répondu au fil de discussion oss-sec en disant que les avis publiés cette semaine seraient mis à jour et que la balise zero-day serait supprimée dès qu’Exim publierait des correctifs.

« Le ZDI a contacté à plusieurs reprises les développeurs concernant plusieurs rapports de bogues avec peu de progrès à montrer. Après que notre délai de divulgation ait été dépassé de plusieurs mois, nous avons informé le responsable de notre intention de divulguer publiquement ces bogues, moment auquel nous avons été « Vous faites ce que vous faites », a déclaré le représentant du ZDI.

« Si ces bogues ont été corrigés de manière appropriée, nous mettrons à jour nos avis avec un lien vers l’avis de sécurité, l’enregistrement du code ou toute autre documentation publique clôturant le problème. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *