Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en el popular servidor de correo electrónico de código abierto EXIM, que deja al menos más de medio millón de servidores de correo electrónico vulnerables a atacantes remotos.
Los mantenedores de Exim lanzaron hoy la versión 4.92.2 de Exim después de publicar una advertencia temprana hace dos días, dando a los administradores del sistema un aviso de sus próximos parches de seguridad que afectan a todas las versiones del software del servidor de correo electrónico hasta la última versión 4.92.1.
Identificada como CVE-2019-15846, la vulnerabilidad solo afecta a los servidores Exim que aceptan conexiones TLS, lo que potencialmente permite a los atacantes obtener acceso de nivel root al sistema «al enviar un SNI que termina en una barra invertida durante el handshake TLS inicial».
SNI, que significa Indicación de Nombre del Servidor, es una extensión del protocolo TLS que permite que el servidor aloje de manera segura múltiples certificados TLS para múltiples sitios, todo bajo una sola dirección IP.
Según el equipo de Exim, dado que la vulnerabilidad no depende de la biblioteca TLS utilizada por el servidor, GnuTLS y OpenSSL se ven afectados.
Además, aunque la configuración predeterminada del software del servidor de correo Exim no viene con TLS habilitado, algunos sistemas operativos incluyen el software Exim con la función vulnerable habilitada de manera predeterminada.
La vulnerabilidad fue descubierta por un colaborador de código abierto e investigador de seguridad que utiliza el alias Zerons y analizada por expertos en seguridad cibernética de Qualys.
Hace solo tres meses, Exim parcheó otra grave vulnerabilidad de ejecución remota de comandos, rastreada como CVE-2019-10149, que fue explotada activamente por varios grupos de delincuentes informáticos para comprometer servidores vulnerables.
El aviso de Exim dice que existe una prueba de concepto (PoC) rudimentaria para este defecto, pero actualmente no hay ningún exploit disponible para el público.
Se recomienda encarecidamente a los administradores de servidores que instalen la última versión de Exim 4.92.2 de inmediato, y si no es posible, pueden mitigar el problema al no permitir que los servidores Exim sin parches acepten conexiones TLS.
Fuente: THN