CVE-2023-42115 y compañía: Vulnerabilidades sin parchear en Exim
Exim tiene múltiples vulnerabilidades críticas que permiten la ejecución remota de código sin autenticación.
Se ha revelado información acerca de múltiples vulnerabilidades, una de ellas crítica, que afectan a la solución de software Exim. Entre las distintas consecuencias que podrían conllevar la explotación de estas vulnerabilidades, se encuentra la ejecución de código remoto y la revelación de información sensible. La más crítica es el CVE-2023-42115, que permite la ejecución remota a través de la red sin autenticación.
Exim es un agente de transferencia de mensajes (Message Transfer Agent, MTA) desarrollado originalmente por la Universidad de Cambridge para el uso en sistemas Unix conectados a internet. Es un software de código abierto ampliamente usado como alternativa a Sendmail. Es el MTA por defecto en distribuciones Debian y el más popular en Internet según la encuesta MX Mail Server Survey, publicada por SecuritySpace en 2019, con un 57% de instalaciones.
Cabe destacar que todas las vulnerabilidades fueron reportadas a los mantenedores del proyecto Exim por ZDI en junio de 2022. Dada la inactividad en la creación de parches de seguridad de estos CVE, Zero Day Initiative decidió la publicación de los distintos advisories como vulnerabilidades 0 day. Por ello, estas vulnerabilidades ya tienen asignados sus identificadores CVE.
Actualización 02/10/2023: Tal y como se ha anunciado por parte Exim en la lista de seguridad OpenWall, se ha creado una actualización de seguridad exim-4.96.1 y 4.97 que mitigan las 3 vulnerabilidades más críticas (CVE-2023-42114, CVE-2023-42115, CVE-2023-42116) y estará disponible a lo largo del día de hoy.
Características principales
A continuación, se detallan las características principales de las vulnerabilidades.
- Fecha de publicación: 27/09/2023
- Software Afectado: Exim
- Versiones afectadas: Todas las versiones soportadas, desde 4.0 a 4.96.
CVE | CVSS y descripción |
CVE-2023-42115 | 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) Ejecución remota de código por una escritura fuera de búfer durante el proceso de autenticación. |
CVE-2023-42117 | 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) Ejecución remota de código por neutralización inapropiada de elementos especiales, ocasionando una corrupción de memoria. |
CVE-2023-42116 | 8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) Ejecución remota de código por un desbordamiento de pila al gestionar las peticiones de desafío NTLM. |
CVE-2023-42118 | 7.5 (AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) Ejecución de código remota que afecta a la librería de Exim libspf2, al procesar macros SPF, que no valida un número entero de forma correcta. |
CVE-2023-42114 | 3.7 (AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) Revelación de información al leer fuera de los límites de una estructura al gestionar peticiones de desafío NTLM. |
CVE-2023-42119 | 3.1 (AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N) Revelación de información de dnsdb al leer fuera de los límites del búfer. |
Entre las distintas vulnerabilidades destaca la vulnerabilidad CVE-2023-42115, que afecta al servicio SMTP. Se trata de una escritura fuera de búfer al gestionar comandos de tipo AUTH. Es la consecuencia de una incorrecta validación de los datos de entrada. Esta vulnerabilidad puede ser explotada sin requerir autenticación con el objetivo de ejecutar código bajo el contexto de la cuenta con la que se ejecuta el servicio.
A día 30/09/2023 no han trascendido más detalles técnicos, ni exploits públicos vinculados a las distintas vulnerabilidades, y no existen evidencias de que estén siendo explotadas de forma activa por el momento. Sin embargo, es de esperar que esta situación cambie a lo largo de los días.
Mitigación de las vulnerabilidades en Exim y CVE-2023-42115
Aunque ha tardado, la organización que desarrolla Exim ha publicado un comunicado oficial con más información, tal y como ha hecho en otras ocasiones en su apartado de seguridad.
Exim pretende distribuir un parche de seguridad (exim-4.96.1 y 4.97) durante el día 02/10/2023 para mitigar las siguientes vulnerabilidades:
- CVE-2023-42114 (NTLM Out of bounds read)
- CVE-2023-42115 (AUTH Out of bounds write)
- CVE-2023-42116 (SMTP Challenge Bof).
El resto de las vulnerabilidades aún no están corregidas y siguen siendo evaluadas por equipo de Exim, aunque ya han definido ciertas recomendaciones que requieren cambios en la configuración del servicio para la mitigación de las mismas.
Recomendaciones
Se proponen las siguientes recomendaciones para reducir la exposición a la explotación de las vulnerabilidades en Exim:
- Si es posible, detener el servicio de Exim hasta que se pueda desplegar la versión 4.96.1 o 4.97.
- Si no es posible detener el servicio, implementar un firewall para limitar las conexiones al servicio SMTP a orígenes confiables únicamente.
- Monitorizar logs en busca de actividad sospechosa, tal como intentos de autenticación fallidos o conexiones inesperadas desde direcciones IP no comunes.
- Aplicar parches de seguridad a Exim tan pronto como sea posible. Tarballs de exim-4.96.1 en https://ftp.exim.org/pub/exim/exim4/ y en las ramas de GIT git://git.exim.org ( spa-auth-fixes, exim-4.96+security y exim-4.96.1+fixes).
En cuanto a las vulnerabilidades no corregidas, actualmente las recomendaciones son las siguientes:
- No desplegar Exim detrás de un proxy de protocolo no confiable ( CVE-2023-42117 )
- No usar ‘spf’ como condición en las ACLS ( CVE-2023-42118) y evaluar si esta vulnerabilidad se corrige a través de libspf2
- Usar un servidor de resolución DNS confiable ( CVE-2023-42219)
Tarlogic recomienda a todas las organizaciones con servidores Exim que tomen acciones inmediatas para mitigar el riesgo de explotación de estas vulnerabilidades.
Detección de la vulnerabilidad de Exim
Actualmente no se han publicado exploits ni pruebas de concepto de las distintas vulnerabilidades. Pese a ello, dado que todas las instancias de Exim están afectadas, basta con identificar el software para confirmar su afectación.
Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.
Referencias
- https://www.exim.org
- https://www.exim.org/static/doc/security/CVE-2023-zdi.txt
- https://www.exim.org/static/doc/security/
- http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html
- https://www.cybersecurity-help.cz/vdb/SB2023092821
- https://thehackernews.com/2023/09/new-critical-security-flaws-expose-exim.html
- https://www.zerodayinitiative.com/advisories/published/
- https://www.openwall.com/lists/oss-security/2023/10/01/4