Les failles 21Nails d’Exim exposent des millions de serveurs aux attaques

0

Les vulnérabilités critiques nouvellement découvertes dans le logiciel Exim permettent aux attaquants distants non authentifiés d’exécuter du code arbitraire et d’obtenir des privilège root sur les serveurs de messagerie avec des configurations par défaut ou courantes.

Les failles de sécurité (10 exploitables à distance et 11 localement) trouvées et signalées par l’équipe de recherche de Qualys sont collectivement connues sous le nom de 21Nails.

Toutes les versions publiées avant Exim 4.94.2 sont vulnérables aux attaques qui tentent d’exploiter les vulnérabilités 21Nails.

« Certaines des vulnérabilités peuvent être associées pour obtenir une exécution complète de code non authentifié à distance et obtenir des privilèges root sur le serveur Exim », comme l’a noté Bharat Jogi, directeur principal de Qualys.

« L’une des vulnérabilités découvertes par l’équipe de recherche de Qualys (CVE-2020-28017) affecte toutes les versions d’Exim 2004 ( sortie il y’a 17 ans) »

Une liste des 21 vulnérabilités de Nils découvertes par Qualys est disponible dans le tableau ci-dessous.

CVEDescriptionType
CVE-2020-28007Attaque de lien dans le dossier de log Local
CVE-2020-28008Attaques assorties dans le dossier spool Local
CVE-2020-28014Création arbitraire de fichiers et clobberingLocal
CVE-2021-27216Suppression arbitraire de fichierLocal
CVE-2020-28011Débordement de tampon de tas dans queue_run()Local
CVE-2020-28010Ecriture hors-limite de tas dans main()Local
CVE-2020-28013Débordement de tampon de tas dans parse_fix_phrase()Local
CVE-2020-28016Ecriture hors-limite de tas dans parse_fix_phrase()Local
CVE-2020-28015Injection de nouvelle ligne dans le fichier d’en-tête de bobine (local)Local
CVE-2020-28012Drapeau close-on-exec manquant pour le tuyau privilégiéLocal
CVE-2020-28009Débordement d’entier dans get_stdinput()Local
CVE-2020-28017Débordement d’entier dans receive_add_recipient()à distance
CVE-2020-28020Débordement d’entier dans receive_msg()à distance
CVE-2020-28023Lecture hors-limite dans smtp_setup_msg()à distance
CVE-2020-28021Injection de nouvelle ligne dans le fichier d’en-tête de bobine (à distance)à distance
CVE-2020-28022Lecture et écriture hors-limite dans extract_option()à distance
CVE-2020-28026Troncation et injection de ligne dans spool_read_header()à distance
CVE-2020-28019Défaut de réinitialiser le pointeur de fonction après l’erreur BDATà distance
CVE-2020-28024Sous-flux de tampon de tas dans smtp_ungetc()à distance
CVE-2020-28018Use-after-free dans tls-openssl.cà distance
CVE-2020-28025Lecture hors-limite de tas dans pdkim_finish_bodyhash()à distance

Les serveurs Exim sont une cible facile

Les serveurs MTA(Mail Transfer Agent) sont une cible facile aux attaques étant donné que, dans la plupart des cas, ils sont accessibles sur Internet et fournissent aux attaquants un point d’entrée simple dans le réseau d’une cible.

« Une fois exploités, ils pourraient modifier les paramètres de messagerie sensibles sur les serveurs de messagerie, et permettre aux adversaires de créer de nouveaux comptes sur les serveurs de messagerie cibles », a expliqué Qualys.

Microsoft a mis en garde en Juin 2019 au sujet d’un ver Linux actif ciblant le bug d’exécution à distance (CVE-2019-10149) d’Exim, en expliquant que les serveurs Azure pourrait être piraté en abusant de la faille bien que les atténuations existantes pourraient bloquer la fonctionnalité de ver du malware.

Un mois plus tard, les attaquants ont commencé à exploiter les serveurs Exim vulnérables pour installer le cheval de Troie Watchbog de Linux pour les ajouter à un botnet de crypto-minage de Monero.

Enfin, la NSA a déclaré en Mai 2020 que les pirates militaires russes de Sandworm exploitaient la faille d’Exim (CVE-2019-10149) depuis au moins Août 2019.

Il est recommandé aux utilisateurs de patcher immédiatement

Exim est le MTA par défaut sur les distributions Debian de Linux et actuellement le MTA le plus populaire au monde, selon une enquête sur les serveurs de messagerie datant du 1er mai 2021.

Selon l’enquête, il est installé sur plus de 59% de serveurs sur un total de 1 084 800 serveurs de messagerie accessibles sur Internet, ce qui représente un peu plus de 344 026 serveurs Exim.

Toutefois, une recherche de BinaryEdge a découvert plus de 3 564 945 serveurs de messagerie Exim exécutant des versions vulnérables exposées à une attaque sur Internet.

exim

S’ils ne sont pas patchés dès que possible, tous ces serveurs pourraient être victimes d’attaques d’exécution de commandes à distance si elles ne sont pas patchées d’urgence contre les vulnérabilités 21Nails.

Par conséquent, tous les utilisateurs d’Exim doivent immédiatement passer à la dernière version d’Exim disponible pour bloquer toute attaque entrante ciblant leurs serveurs vulnérables.

Si vous devez mettre à niveau à partir d’une version Exim supérieure à 4,94, vous devrez également retravailler votre configuration de serveur en raison de problèmes de * données entachées *, selon Heiko Schlittermann, développeur d’Exim. « Il s’agit d’une mesure de sécurité que nous avons introduite avec 4,94, » a-t-il déclaré.

« Alternativement, vous pouvez utiliser la branche exim-4.94.2+taintwarn. Cette branche suit exim-4.94.2+fixes et ajoute une nouvelle option de configuration principal (l’option est déjà dépréciée aujourd’hui et sera ignorée dans une future version d’Exim): « allow_insecure_tainted_data ».

« Cette option vous permet de transformer les erreurs en avertissements. (Debian est prêt à inclure ce patch « taintwarn » dans sa version Exim 4.94.2). »

Plus de détails techniques sur chacune des vulnérabilités de 21Nail sont disponibles dans l’avis de sécurité de Qualys.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.