Un ricercatore di sicurezza ha segnalato alla Zero Day Initiative (ZDI) di Trend Micro la presenza di una vulnerabilità zero-day critica in tutte le versioni di Exim, popolare MTA (Mail Transfer Agent) per i sistemi Linux (è quello predefinito in Debian). Potrebbe essere sfruttata per eseguire codice remoto. ZDI ha svelato altre cinque vulnerabilità con livello di gravità alto e basso.
Otto vulnerabilità zero-day in Exim
La vulnerabilità critica, indicata con CVE-2023-42115 (CVSS 9.8/10), è presente nel servizio SMTP di Exim che ascolta sulla porta TCP 25. A causa della mancata validazione dei dati è possibile scrivere oltre i limiti di un buffer, consentendo l’esecuzione di codice arbitrario.
ZDI ha segnalato il grave problema il 14 giugno 2022. Exim ha chiesto nuovamente di inviare i dettagli il 25 aprile 2023. Non avendo ricevuto una risposta, ZDI ha deciso di pubblicare l’avviso di sicurezza il 27 settembre 2023.
Lo sviluppatore di Exim, Heiko Schlittermann, ha dichiarato che ZDI non aveva inizialmente fornito dettagli sufficienti per correggere il bug. La patch è stata pubblicata in un repository protetto per essere applicata dai maintainer delle distribuzioni. ZDI ha comunicato che l’avviso verrà aggiornato quando il fix sarà pubblico.
Come detto sono state scoperte altre cinque vulnerabilità zero-day. Anche quelle con gravità alta (CVE-2023-42116, CVE-2023-42117 e CVE-2023-42118) possono essere sfruttate per eseguire codice arbitrario. Le ultime due (CVE-2023-42114 e CVE-2023-42119) sono di gravità bassa e permettono di svelare informazioni sensibili.
Lo sviluppatore di Exim ha comunicato che nel repository protetto ci sono anche le patch per le vulnerabilità CVE-2023-42114 e CVE-2023-42116. Le rimanenti sono “discutibili” e poco dettagliate. Exim è attualmente il mail server più usato al mondo (56,86%).
Aggiornamento (3/10/2023): Exim ha rilasciato l’aggiornamento 4.96.1 che include le patch per le vulnerabilità CVE-2023-42114, CVE-2023-42115 e CVE-2023-42116.