Criticità su Servizi di Posta OpenSMTPD

Proto: N060120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità recentemente scoperta sui servizi di posta basati su OpenSMTPD, libreria di servizi open-source distribuita all’interno dei principali sistemi operativi Linux e Unix-Like, tra le principali tecnologie utilizzate per la realizzazione di Mail Transfer Agent.  La criticità è nota con l’identificativo CVE-2020-7247.

A causa di gravi lacune di validazione durante la ricezione dei messaggi di posta, un attaccante remoto non autenticato può essere in grado di eseguire comandi di sistema sul server bersaglio, compromettendone la sicurezza e le informazioni in transito. 

Figura. Potenziale esposizione internet di OpenSMTPD (Fonte:ShodanHQ)

Il Manutentore ha confermato la problematica rilasciando aggiornamenti di sicurezza urgenti ed invitando gli utilizzatori di questa tecnologia ad installare la versione 6.6.2p1, in grado di risolvere la criticità. Le patch sono inoltre in corso di recepimento dai vari gestori di distribuzioni Linux (e.g. Debian, Ubuntu, Fedora, CentOS), i quali le stanno inserendo all’interno del loro ciclo di manutenzione.

Considerata la disponibilità di dettagli tecnici atti a sfruttare la vulnerabilità, la sua relativa bassa complessità di sfruttamento e la potenziale esposizione internet degli eventuali servizi vulnerabili, Yoroi consiglia di pianificare l’aggiornamento delle librerie e dei servizi OpenSMTPD eventualmente in uso presso le vostre infrastrutture od utilizzati all’interno di eventuali Prodotti o Soluzioni software commercializzati.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index