Expertos advierten sobre varias vulnerabilidades, en todas las versiones del software de MTA (Mail Transfer Agent) de Exim. Este agente de transferencia de correo (MTA) de código abierto está diseñado para sistemas operativos basados en Unix, como Linux, Mac OSX y Solaris.
Las vulnerabilidades de seguridad recientemente encontradas en Exim podrían posibilitar que los atacantes pongan en riesgo los sistemas de Exim y obtengan acceso a información confidencial, que incluye los mensajes de correo electrónico. Se han identificado seis de las vulnerabilidades graves en Exim, de las cuales se presentan las más relevantes:
- CVE-2023-42115: Vulnerabilidad crítica CVSS de 9.8 que permite la ejecución remota de código, expone una vía de entrada para que los actores de amenazas inserten códigos de forma arbitraria.
- CVE-2023-42116: Vulnerabilidad de nivel 8.1 (alta) permite la ejecución remota de código de desbordamiento de búfer. Esta vulnerabilidad, relacionada con el manejo de las solicitudes de desafío NTLM, se origina por una validación inadecuada de la longitud de los datos del usuario, lo que puede dar lugar a posibles situaciones de desbordamiento de búfer.
- CVE-2023-42117: Vulnerabilidad de nivel 8.1 (alta). Esta vulnerabilidad se centra en el servicio SMTP. La falta de validación adecuada en los procesos puede generar situaciones de corrupción de la memoria, lo que habilita a los actores de amenazas a ejecutar códigos y comprometer los procesos.
- CVE-2023-42118: Con CVSS alto de nivel 7.5, el núcleo de este problema se encuentra en la evaluación de macros SPF. La validación insuficiente de los procedimientos puede provocar un desbordamiento de números enteros, lo que, a su vez, facilita la ejecución de código no autorizado.
Los servidores MTA como Exim son objetivos altamente vulnerables, principalmente porque a menudo se puede acceder a ellos a través de Internet, lo que sirve como puntos de entrada fáciles para los atacantes a la red del objetivo.
Cabe recalcar que Exim es el MTA predeterminado en las distribuciones Debian Linux y el software MTA más popular del mundo, está instalado en más del 56% de un total de 602.000 servidores de correo accesibles en Internet, lo que representa poco más de 342.000 servidores Exim.
Productos Afectados
Todas las versiones de Exim desde 4.0 a 4.96 y anteriores.
Solución
Actualizar a la versión Exim 4.96.1 y 4.97.
Recomendación
Para cada una de las vulnerabilidades, se recomienda lo siguiente:
| CVE(s) | Producto afectado | Mitigación |
| CVE-2023-42115 | AUTH | No ofrecer autenticación Externa. |
| CVE-2023-42116 | Solicitudes de desafío NTLM | No utilice la autenticación SPA (NTLM) |
| CVE-2023-42117 | Servicio smtp | No desplegar Exim detrás de un proxy de protocolo no confiable |
| CVE-2023-42118 | libspf2 | No utilice la condición `spf` en su ACL |
Referencias:
- https://vuldb.com/?id.240791
- https://ubuntu.com/security/CVE-2023-42115
- https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
- https://exchange.xforce.ibmcloud.com/vulnerabilities/267177
- https://www.tarlogic.com/es/blog/cve-2023-42115-vulnerabilidades-exim/
- https://thehackernews.com/2023/09/new-critical-security-flaws-expose-exim.html
- https://securityaffairs.com/151693/hacking/cve-2023-42115-exim-mail-transfer.html
- https://forum.hestiacp.com/t/cve-2023-42115-exim-vulnerability-cvss-score-9-8/11215
- https://securityonline.info/cve-2023-42115-critical-exim-bug-exposes-email-servers-to-remote-attacks/
- https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/
- https://socradar.io/zero-day-vulnerabilities-in-exim-email-server-risk-of-rce-cve-2023-42115-cve-2023-42116-cve-2023-42117-and-more/