Un nouveau rapport fait état de vulnérabilités critiques découvertes dans l’agent de transfert de courrier Exim. Si elles sont exploitées avec succès, ces vulnérabilités permettent l’exécution à distance de code malveillant avec très peu ou pas d’interaction de l’utilisateur.
L’Initiative Zero Day a initialement signalé cette vulnérabilité mercredi, mais elle est passée inaperçue alors que l’attention était concentrée sur une faille de sécurité WebP 0day.
À ce moment-là, peu de détails étaient disponibles sur ces vulnérabilités. Nous savons seulement qu’il y avait au total six vulnérabilités, dont quatre permettaient l’exécution de code à distance.
L’une de ces vulnérabilités, identifiée sous le nom CVE-2023-42115, est la plus dangereuse, avec un score CVSS de 9,8 sur 10. Cette faille permet à des attaquants distants d’exécuter un code arbitraire sur les installations affectées d’Exim, sans nécessiter d’authentification.
Selon la description de l’Initiative Zero Day, cette faille spécifique se trouve dans le service SMTP, qui écoute sur le port TCP 25 par défaut. Le problème résulte du manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner un dépassement de tampon. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service.
Aujourd’hui, le 2 octobre 2023, Exim a publié des détails sur ces vulnérabilités. Selon l’avis de sécurité d’Exim, six vulnérabilités zero-day ont été signalées à Exim.
Exim confirme que ces problèmes ne sont pas liés à la sécurité du transport (TLS) activée ou désactivée. Voici les détails des six vulnérabilités zero-day :
- CVE-2023-42114 : Divulgation d’informations lors de la lecture hors limites d’une structure de données lors de la manipulation des demandes de défi NTLM. Score CVSS : 3,7. Solution : ne pas utiliser l’authentification SPA (NTLM). Corrigé dans Exim 4.96.1 et 4.97.
- CVE-2023-42115 : Exécution de code à distance à partir d’un dépassement de tampon lors du traitement des commandes AUTH. Score CVSS : 9,8. Solution : ne pas proposer l’authentification EXTERNAL. Corrigé dans Exim 4.96.1 et 4.97.
- CVE-2023-42116 : Exécution de code à distance à partir d’un dépassement de tampon basé sur la pile lors de la manipulation des demandes de défi NTLM. Score CVSS : 8,1. Solution : ne pas utiliser l’authentification SPA (NTLM). Corrigé dans Exim 4.96.1 et 4.97.
- CVE-2023-42117 : Exécution de code à distance due à une neutralisation incorrecte d’éléments spéciaux, provoquant une condition de corruption de mémoire. Score CVSS : 8,1. Solution : ne pas utiliser Exim derrière un proxy-protocol proxy non fiable. Non corrigé.
- CVE-2023-42118 : Exécution de code à distance affectant la bibliothèque libspf2 d’Exim, lors du traitement des macros SPF, qui ne valide pas correctement un entier. Score CVSS : 7,5. Solution : ne pas utiliser la condition
spfdans votre ACL. Il est discutable de savoir si cela devrait être signalé contre libspf2. - CVE-2023-42119 : Divulgation d’informations sur dnsdb lors de la lecture hors limites du tampon. Score CVSS : 3,1. Utilisez un résolveur DNS digne de confiance capable de valider les données selon les types d’enregistrements DNS. En cours d’examen.
L’équipe d’Exim a noté les points suivants concernant ces vulnérabilités :
- Trois d’entre elles sont liées à SPA/NTLM et à l’authentification EXTERNAL. Si vous n’utilisez pas SPA/NTLM ou l’authentification EXTERNAL, vous n’êtes pas concerné. Ces problèmes sont corrigés.
- Une vulnérabilité concerne les données reçues d’un proxy-protocol proxy. Si vous n’utilisez pas de proxy avec Exim, vous n’êtes pas concerné. Si votre proxy est digne de confiance, vous n’êtes pas concerné. Nous travaillons sur un correctif.
- Une vulnérabilité est liée à libspf2. Si vous n’utilisez pas le type de recherche
spfou la conditionspfdans votre ACL, vous n’êtes pas concerné. - La dernière vulnérabilité concerne les recherches DNS. Si vous utilisez un résolveur digne de confiance (qui valide les données qu’il reçoit), vous n’êtes pas concerné. Nous travaillons sur un correctif.
Selon la recherche Shodan, plus de 3,5 millions de serveurs Exim sont exposés en ligne, la plupart aux États-Unis, suivis par la Russie et l’Allemagne.
Selon Netlas, une application d’intelligence Internet fournissant des informations techniques précises sur les adresses IP, les noms de domaine, les sites Web, les services Web, les appareils IoT, etc., 147 000 serveurs sont probablement vulnérables aux CVE-2023-42115, CVE-2023-42116 et CVE-2023-42117.
Exim a indiqué qu’il avait mis à disposition des correctifs pour ces vulnérabilités dans un référentiel privé. Actuellement, l’entreprise est en contact avec les principales distributions et prévoit de publier ces correctifs avec les versions de sécurité Exim-4.96.1 et 4.97 dès que possible (visant le lundi 2 octobre). Ce n’est pas la première fois que des failles de sécurité sont découvertes dans cet agent de transfert de courrier très utilisé. En mai 2021, Qualys avait révélé un ensemble de 21 vulnérabilités regroupées sous le nom de 21Nails, permettant à des attaquants non authentifiés d’obtenir une exécution de code à distance complète et d’obtenir des privilèges root.
Sources :
Veuillez vous référer à ces sources pour des informations plus détaillées sur le sujet.
