De acuerdo con una encuesta de junio de 2019 de todos los servidores de correo visibles en Internet, el 57% (507.389) de todos los servidores de correo electrónico ejecutan Exim, aunque diferentes informes pondrían la cantidad de instalaciones de Exim en diez veces esa cantidad, 5.4 millones.
En una alerta de seguridad compartida con ZDNet, Qualys dijo que encontró una vulnerabilidad en las instalaciones de Exim que ejecutan las versiones 4.87 a 4.91. El fallo fue descubierto en mayo, pero ahora urge más que nunca parchear, por dos razones. La primera es que se han filtrado más datos y es trivial su explotación. La segunda es que, aunque la solución se aplicó en febrero, se hizo sin catalogarlo como un problema de seguridad, y por tanto no todas las distribuciones aplican este parche en sus actualizaciones. En habitual no actualizar nada que no tenga que ver con la seguridad en entornos de producción
La vulnerabilidad se describe como una ejecución remota de comandos (diferente, pero tan peligrosa como una falla de ejecución remota de código) que permite a un atacante local o remoto ejecutar comandos en el servidor Exim como root. Qualys dijo que la vulnerabilidad puede ser explotada instantáneamente por un atacante local que tiene presencia en un servidor de correo electrónico, incluso con una cuenta con pocos privilegios. Pero el verdadero peligro proviene de los atacantes remotos que explotan la vulnerabilidad, que pueden escanear Internet en busca de servidores vulnerables y tomar el control de los sistemas.
«Para explotar de forma remota esta vulnerabilidad en la configuración predeterminada, un atacante debe mantener abierta la conexión con el servidor vulnerable durante 7 días (transmitiendo un byte cada pocos minutos)», dijeron los investigadores. «Sin embargo, debido a la extrema complejidad del código de Exim, no podemos garantizar que este método de explotación sea único; pueden existir métodos más rápidos».
Además, el equipo de Qualys dice que cuando Exim tiene ciertas configuraciones no predeterminadas, la explotación instantánea también sería posible en algunos escenarios remotos.
Vulnerabilidad parcheada … por accidente
La vulnerabilidad fue reparada con el lanzamiento de Exim 4.92, el 10 de febrero de 2019, pero en el momento en que el equipo de Exim lanzó esa versión, no sabían que habían arreglado un gran agujero de seguridad.
Esto fue descubierto recientemente por el equipo de Qualys mientras auditaba versiones anteriores de Exim. Ahora, los investigadores de Qualys advierten a los usuarios de Exim que se actualicen a la versión 4.92 para evitar que los atacantes tomen el control de sus servidores. Según el mismo informe de junio de 2019 sobre la cuota de mercado del servidor de correo electrónico, solo el 4.34% de todos los servidores Exim ejecutan la última versión 4.92.
En un correo electrónico a los mantenedores de la distribución de Linux, Qualys dijo que la vulnerabilidad es «trivialmente explotable» y espera que los atacantes creen un código de explotación en los próximos días.
Esta falla de Exim actualmente se rastrea bajo el identificador CVE-2019-10149, pero Qualys se refiere a ella bajo el nombre de «Return of the WIZard»porque la vulnerabilidad se parece a las antiguas vulnerabilidades WIZ y DEBUG que impactaron al servidor de correo electrónico de Sendmail en los 90.
Fuente: segu-info.com.ar