Uma vulnerabilidade de gravidade crítica presente em várias versões do software do agente de transferência de e-mail (MTA) do Exim possibilita que invasores remotos não autenticados executem comandos arbitrários em servidores de e-mail para algumas configurações de servidor não padrão.
A falha afeta as versões 4.87 a 4.91 do Exim e é causada pela validação inadequada de endereços de destinatários na função deliver_message () em /src/deliver.c que leva ao RCE com privilégios de root no servidor de email.
‘Neste caso particular, RCE significa Execução Remota * de Comando *, não Execução Remota de Código: um invasor pode executar comandos arbitrários com execv (), como root; não há corrupção de memória ou ROP (Return-Oriented Programming)’, diz Qualys , o equipamento de segurança que descobriu e relatou a vulnerabilidade.
Como a equipe de pesquisa da Qualys também disse, a falha do Exim é ‘trivialmente explorável nos casos locais e não padrão’, com invasores em potencial tendo exploits de trabalho o quanto antes.
Detalhes da vulnerabilidade do Exce RCE
A vulnerabilidade rastreada como CVE-2019-10149 e classificada como crítica pode ser explorada instantaneamente ‘por um invasor local (e por um invasor remoto em certas configurações não padrão).’
As seguintes configurações Exim não padrão são fáceis de explorar remotamente de acordo com o Qualys:
• Se a ACL ‘verify = recipient’ tiver sido removida manualmente por um administrador (talvez para impedir a enumeração de nome de usuário via RCPT TO), nosso método de exploração local também funcionará remotamente.
• Se o Exim foi configurado para reconhecer tags na parte local do endereço do destinatário (via ‘local_part_suffix = + *: – *’ por exemplo), então um atacante remoto pode simplesmente reutilizar nosso método de exploração local com um RCPT TO ‘balrog + $ {run {…}} @ … alhost ‘(onde’ balrog ‘é o nome de um usuário local).
• Se o Exim foi configurado para retransmitir email para um domínio remoto, como um MX secundário (Mail eXchange), um atacante remoto pode simplesmente reutilizar nosso método de exploração local com um RCPT TO ‘$ {run {…}} @. ..zad.dum ‘(onde’ khazad.dum ‘é um dos relay_to_domains do Exim). De fato, a ACL ‘verify = recipient’ só pode verificar a parte do domínio de um endereço remoto (a parte que segue o sinal @), não a parte local.
Explorando a falha remotamente em servidores vulneráveis com uma configuração padrão é mais complicado e requer alguma dedicação, pois os ataques ‘devem manter uma conexão com o servidor vulnerável aberto por 7 dias (transmitindo um byte a cada poucos minutos)’, diz o conselho da Qualys.
‘No entanto, devido à extrema complexidade do código do Exim, não podemos garantir que esse método de exploração seja único; métodos mais rápidos podem existir.’
O bug CVE-2019-10149 foi corrigido pelos desenvolvedores do Exim na versão 4.92 em 10 de fevereiro, embora ‘não tenha sido identificado como uma vulnerabilidade de segurança’ no momento ‘e a maioria dos sistemas operacionais é afetada’.
De acordo com uma rápida pesquisa do Shodan, versões vulneráveis do Exim estão atualmente rodando em mais de 4.800.000 máquinas, com mais de 588.000 servidores já executando a versão corrigida do Exim 4.92.
Os pesquisadores nomearam a falha CVE-2019-10149 ‘O Retorno do WIZard’, conectando-a às vulnerabilidades WIZ e DEBUG de 1999, que também permitem que atacantes executem comandos como root em servidores que executam uma versão vulnerável do agente de transferência de e-mail do Sendmail.
E Você, está entre a lista dos afetados com esse problema? Deixe um comentário no campo abaixo para sabermos. E Não deixe de visitar: www.deltaservers.com.br para acompanhar todas as nossas promoções.
