Falla in Server di Posta Exim

Proto: N030919.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una vulnerabilità critica in Exim, server di posta open-source utilizzato da aziende, provider di servizio e produttori di tecnologie. La criticità è nota con l’identificativo CVE-2019-15846.

La problematica è causata da lacune nella gestione della terminazione del Server Name Indication (SNI) durante le fasi di instaurazione del canale di comunicazione cifrato TLS (e.g. SMTPS o IMAPS), attraverso le quali un attaccante remoto può eseguire codice arbitrario con privilegi amministrativi all’interno del server bersaglio.

Il Manutentore ha pubblicato un apposito bollettino di sicurezza e confermato la problematica per tutte le versioni di Exim inclusa la 4.92.1, rilasciando la versione 4.92.2 in grado di risolvere la problematica e le seguenti regole ACL di blocco in grado di mitigare i vettori di attacco al momento conosciuti:

deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_sni}}}}
deny    condition = ${if eq{\\}{${substr{-1}{1}{$tls_in_peerdn}}}}

Il Manutentore specifica inoltre che la problematica non è originata dalle librerie di crittografia utilizzate dal server di posta, ma bensì dalla logica applicativa di Exim stesso.

Per via della potenziale esposizione internet delle tecnologie afflitte e della disponibilità di dettagli tecnici legati alla problematica, Yoroi consiglia caldamente di pianificare l’installazione degli aggiornamenti a disposizione ed applicare le mitigazioni suggerite dal Manutentore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index