Vulnerabilidades críticas en Exim exponen a millones de servidores a ataques
Las vulnerabilidades críticas recién descubiertas en el software del agente de transporte de correo (MTA) Exim permiten que atacantes remotos no autenticados ejecuten código arbitrario. Estas vulnerabilidades permiten a los atacantes obtener privilegios de root en servidores de correo con configuraciones predeterminadas o comunes.
Las vulnerabilidades de seguridad encontradas y reportadas por el equipo de investigación de Qualys han sido identificadas colectivamente como 21Nails. Es importante mencionar que 10 de las vulnerabilidades son explotables de forma remota y 11 localmente.
Todas las versiones publicadas antes de Exim 4.94.2 son vulnerables a los ataques que intentan explotar las vulnerabilidades de 21Nails.
“Algunas de las vulnerabilidades se pueden encadenar para obtener una ejecución remota completa de código no autenticado y obtener privilegios de root en Exim Server”.
Bharat Jogi – gerente senior de Qualys
Una de las vulnerabilidades descubiertas por el equipo de investigación de Qualys (CVE-2020-28017) afecta a todas las versiones de Exim desde 2004. Es decir, desde el comienzo de su historia hace 17 años.
Vulnerabilidades
La lista de todas las vulnerabilidades de 21Nails descubiertas por Qualys está disponible en la tabla incluida a continuación.
| CVE | Descripción | Tipo |
| CVE-2020-28007 | Ataque de enlace en el directorio de registro de Exim | Local |
| CVE-2020-28008 | Diferentes ataques en el directorio spool de Exim | Local |
| CVE-2020-28014 | Creación arbitraria de archivos y reescritura | Local |
| CVE-2021-27216 | Eliminación arbitraria de archivos | Local |
| CVE-2020-28011 | Desbordamiento de montículo en queue_run () | Local |
| CVE-2020-28010 | Desbordamiento de montículo fuera de los límites en main () | Local |
| CVE-2020-28013 | Desbordamiento de montículo en parse_fix_phrase () | Local |
| CVE-2020-28016 | Desbordamiento de montículo fuera de límites en parse_fix_phrase () | Local |
| CVE-2020-28015 | Inyección de nueva línea en el archivo de encabezado de spool (local) | Local |
| CVE-2020-28012 | Ausencia del indicador close-on-exec para canalización privilegiada | Local |
| CVE-2020-28009 | Desbordamiento de enteros en get_stdinput () | Local |
| CVE-2020-28017 | Desbordamiento de enteros en receive_add_recipient () | Remoto |
| CVE-2020-28020 | Desbordamiento de enteros en Receive_msg () | Remoto |
| CVE-2020-28023 | Lectura fuera de los límites de en smtp_setup_msg () | Remoto |
| CVE-2020-28021 | Inyección de nueva línea en el archivo de encabezado de spool (remoto) | Remoto |
| CVE-2020-28022 | Lectura y escritura fuera de límites del montículo en extract_option () | Remoto |
| CVE-2020-28026 | Truncamiento e inyección de línea en spool_read_header () | Remoto |
| CVE-2020-28019 | Fallo al restablecer el puntero de función después de un error BDAT | Remoto |
| CVE-2020-28024 | Desbordamiento de montículo en smtp_ungetc () | Remoto |
| CVE-2020-28018 | Use-after-free en tls-openssl.c | Remoto |
| CVE-2020-28025 | Desbordamiento de montículo fuera de límite de lectura en pdkim_finish_bodyhash () | Remoto |
Los servidores Exim son un objetivo fácil
Los servidores MTA como Exim son un blanco fácil para los ataques dado que, en la mayoría de los casos, son accesibles a través de Internet. Y, brindan a los atacantes un punto de entrada simple a la red de un objetivo.
“Una vez explotados, podrían modificar la configuración confidencial del correo electrónico en los servidores de correo. Las vulnerabilidades podrían permitir que los adversarios creen nuevas cuentas en los servidores de correo de destino”, explicó Qualys.
Microsoft advirtió en junio de 2019 sobre un gusano de Linux activo dirigido a la vulnerabilidad RCE de Exim CVE-2019-10149. Microsoft afirmó que los servidores de Azure podrían ser hackeados abusando de la vulnerabilidad. Sin embargo, las mitigaciones existentes podrían bloquear sin problemas la funcionalidad del gusano.
Un mes después, los atacantes comenzaron a explotar servidores Exim vulnerables para instalar el troyano Watchbog Linux y agregarlos a una botnet de criptominería de Monero.
Por último, pero no menos importante, la Agencia de Seguridad Nacional (NSA) realizó una advertencia de en mayo de 2020. Según la NSA, los hackers militares rusos de Sandworm habían estado explotando la vulnerabilidad crítica de Exim CVE-2019-10149 (The Return of the WIZard) desde al menos agosto de 2019.
Se insta a los usuarios a parchear de inmediato
Exim es el MTA predeterminado en las distribuciones Debian Linux y actualmente es el MTA más popular del mundo. Esto según una encuesta de servidores de correo del 1 de mayo de 2021.
Según la encuesta, Exim está instalado en más del 59% de un total de 1,084,800 servidores de correo accesibles en Internet. Es decir, ese porcentaje representa poco más de 344,026 servidores Exim.
Sin embargo, una búsqueda de BinaryEdge encontró más de 3,564,945 servidores de correo Exim que ejecutan versiones vulnerables expuestas a ataques a través de Internet.
Si no se parchean lo antes posible, todos estos servidores podrían ser víctimas de ataques de ejecución de comandos remotos entrantes. Por lo tanto, todos estos servidores se deben parchear con urgencia contra las vulnerabilidades de 21Nails.
Asimismo, todos los usuarios de Exim deben actualizar inmediatamente a la última versión de Exim disponible para bloquear cualquier ataque entrante dirigido a sus servidores vulnerables.
Si tienes que actualizar desde una versión de Exim anterior a la 4.94, también deberás volver a ajustar la configuración de tu servidor. Esto debido a problemas con *tainted data*, según el desarrollador de Exim, Heiko Schlittermann. Esta es una medida de seguridad que introdujeron con la versión 4.94.
Alternativamente, puede usar la versión exim-4.94.2 + taintwarn. Esta versión rastrea las correcciones de exim-4.94.2 y agrega una nueva opción de configuración principal: ‘allow_insecure_tainted_data’. Hay que destacar que la opción ya está obsoleta y se ignorará en una versión futura de Exim
“Esta opción te permite convertir los errores de taint en advertencias (Debian está configurado para incluir este parche “taintwarn” en su versión Exim 4.94.2).”
Si deseas más detalles técnicos sobre cada una de las vulnerabilidades de 21Nail puedes encontrarlos en el aviso de seguridad de Qualys.
