10 jun. 2019

Vulnerabilidad crítica RCE en Exim CVE-2019-10149 (Parchea!)

Investigadores de Qualys revelaron una vulnerabilidad crítica de Ejecución Remota de Comandos (RCE) que afecta a Exim, el cual es utilizado por más de la mitad de los servidores de correo electrónico de Internet.

Exim es un servidor de correo electrónico de código abierto muy popular en sistemas Unix. Fue desarrollado en 1995 por Philip Hazel en la Universidad de Cambridge. Actualmente Exim es el MTA por defecto de Debian y de otras distribuciones de GNU/Linux. De acuerdo con una encuesta de junio de 2019 de todos los servidores de correo visibles en Internet, el 57% (507.389) de todos los servidores de correo electrónico ejecutan Exim, aunque diferentes informes pondrían la cantidad de instalaciones de Exim en diez veces esa cantidad, 5.4 millones.

En una alerta de seguridad compartida con ZDNet, Qualys dijo que encontró una vulnerabilidad en las instalaciones de Exim que ejecutan las versiones 4.87 a 4.91. El fallo fue descubierto en mayo, pero ahora urge más que nunca parchear, por dos razones. La primera es que se han filtrado más datos y es trivial su explotación. La segunda es que, aunque la solución se aplicó en febrero, se hizo sin catalogarlo como un problema de seguridad, y por tanto no todas las distribuciones aplican este parche en sus actualizaciones. En habitual no actualizar nada que no tenga que ver con la seguridad en entornos de producción.

La vulnerabilidad se describe como una ejecución remota de comandos (diferente, pero tan peligrosa como una falla de ejecución remota de código) que permite a un atacante local o remoto ejecutar comandos en el servidor Exim como root. Qualys dijo que la vulnerabilidad puede ser explotada instantáneamente por un atacante local que tiene presencia en un servidor de correo electrónico, incluso con una cuenta con pocos privilegios. Pero el verdadero peligro proviene de los atacantes remotos que explotan la vulnerabilidad, que pueden escanear Internet en busca de servidores vulnerables y tomar el control de los sistemas.

"Para explotar de forma remota esta vulnerabilidad en la configuración predeterminada, un atacante debe mantener abierta la conexión con el servidor vulnerable durante 7 días (transmitiendo un byte cada pocos minutos)", dijeron los investigadores. "Sin embargo, debido a la extrema complejidad del código de Exim, no podemos garantizar que este método de explotación sea único; pueden existir métodos más rápidos".

Además, el equipo de Qualys dice que cuando Exim tiene ciertas configuraciones no predeterminadas, la explotación instantánea también sería posible en algunos escenarios remotos.

Vulnerabilidad parcheada ... por accidente

La vulnerabilidad fue reparada con el lanzamiento de Exim 4.92, el 10 de febrero de 2019, pero en el momento en que el equipo de Exim lanzó esa versión, no sabían que habían arreglado un gran agujero de seguridad.

Esto fue descubierto recientemente por el equipo de Qualys mientras auditaba versiones anteriores de Exim. Ahora, los investigadores de Qualys advierten a los usuarios de Exim que se actualicen a la versión 4.92 para evitar que los atacantes tomen el control de sus servidores. Según el mismo informe de junio de 2019 sobre la cuota de mercado del servidor de correo electrónico, solo el 4.34% de todos los servidores Exim ejecutan la última versión 4.92.

En un correo electrónico a los mantenedores de la distribución de Linux, Qualys dijo que la vulnerabilidad es "trivialmente explotable" y espera que los atacantes creen un código de explotación en los próximos días.

Esta falla de Exim actualmente se rastrea bajo el identificador CVE-2019-10149, pero Qualys se refiere a ella bajo el nombre de "Return of the WIZard" porque la vulnerabilidad se parece a las antiguas vulnerabilidades WIZ y DEBUG que impactaron al servidor de correo electrónico de Sendmail en los 90.

Actualización 14/06: El investigador de seguridad Amit Serper, ha compartido evidencias de un ataque masivo que se está realizando contra estos servidores. Esta es la clave RSA que el atacante utiliza para tomar el control de la máquina mediante SSH y la cadena «an7kmd2wp4xo7hpr», que corresponde a un servicio oculto de la red TOR, puede aparecer en algunos registros de acceso o del firewall. Mientras tanto, Freddie Leeman, investigador de seguridad, ha detectado actividades relacionadas con otro grupo de atacantes que apuntaban también a instalaciones vulnerables de Exim.

Se intenta descargar un binario localizado en hxxp://173[.]212[.]214[.]137/, que en principio serviría para obtener una shell en la máquina explotada. Se recomienda actualizar de inmediato a la versión 4.92 de Exim, publicada en febrero.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!