Grave Vulnerabilità in Server di Posta Exim

Proto: N030619.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una grave vulnerabilità all’interno di Exim, diffusissimo server di posta open-source utilizzato da service provider, produttori di tecnologie, organizzazioni ed aziende. La criticità è nota con l’identificativo CVE-2019-10149.

Figura. Esposizione Internet di server di Posta Exim in Italia (Fonte:ZoomEye)

La problematica è originata da gravi lacune nella gestione degli indirizzi destinatario all’interno della routine di consegna messaggio di Exim, attraverso le quali un attaccante remoto senza particolari accessi può essere in grado di eseguire comandi arbitrari sul server bersaglio, compromettendone la sicurezza ed accedendovi abusivamente.

Il Manutentore ha confermato la problematica per le versioni Exim comprese tra 4.87 e 4.91 inclusa, specificando che la vulnerabilità è potenzialmente sfruttabile anche da remoto in scenari di utilizzo relativamente comuni, ad esempio: qualora Exim sia configurato con il supporto ai tag “local_part_suffix”, qualora sia utilizzato come MTA secondario con funzioni di relay o, in generale, qualora la configurazione di validazione del destinatario “verify=recipient” fosse stata disabilitata.

Per via della pubblicazione di dettagli tecnici atti a riprodurre la criticità e della potenziale esposizione internet dei servizi afflitti, Yoroi consiglia caldamente di aggiornare i servizi di posta Exim alla versione 4.92 o superiore e di applicare le patch di sicurezza recepite dai principali manutentori di sistemi linux-based (e.g. Red-Hat, Debian).

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index