Importante Vulnerabilità su Servizi Email Exim 

 

Proto: N030318.

 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una grave vulnerabilità all’interno di Exim, noto mail transfer agent open-source utilizzato in vari ambiti come legati a provider di servizio ed organizzazioni. La criticità è nota con l’identificativo CVE-2018-6789.

La problematica è causata da lacune nella gestione della decodifica all’interno di particolari routine utilizzate dal core dell’applicativo dove un attaccante di rete con possibilità di interagire con il servizio può essere in grado di creare disservizi, crash applicativi e – nel peggiore dei casi – compromettere la macchina eseguendo codice arbitrario al suo interno.

Benché la criticità non sia sfruttabile in tutte le circostanze, ricercatori di terze parti hanno dimostrato la fattibilità di attacchi al servizio SMTP di Exim con l’utilizzo dei soli verbi EHLO, MAIL FROM, RCPT TO e AUTH.



Figura 1. Potenziale esposizione di servizi SMTP Exim (Fonte:ShodanHQ)


Il Manutentore ha confermato la problematica ed applicato patch di sicurezza alla suite applicativa Exim, della quale risultano vulnerabili tutte le versioni minori di 4.90.1. A questo proposito, Yoroi consiglia di verificare la presenza di installazioni Exim vulnerabili esposte al pubblico all’interno delle Vostre infrastrutture e di pianificare l’applicazione degli aggiornamenti di sicurezza disponibili.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index