Afectan a todas las versiones de Exim desde 2004
Los mantenedores de Exim han lanzado parches para remediar hasta 21 vulnerabilidades de seguridad en su software que podrían permitir a atacantes no autenticados lograr la ejecución remota completa del código y obtener privilegios de root.
Llamadas colectivamente '21Nails', las fallas incluyen 11 vulnerabilidades que requieren acceso local al servidor y otras 10 debilidades que podrían explotarse de forma remota. Los problemas fueron descubiertos por Qualys e informados a Exim el 20 de octubre de 2020.
"Algunas de las vulnerabilidades se pueden encadenar para obtener una ejecución remota completa de código no autenticado y obtener privilegios de root en Exim Server", dijo en una divulgación pública Bharat Jogi, gerente senior de Qualys. "La mayoría de las vulnerabilidades descubiertas por el equipo de investigación de Qualys para, por ejemplo, CVE-2020-28017 afectan a todas las versiones de Exim desde 2004".
Exim es un popular agente de transferencia de correo (MTA) utilizado en sistemas operativos similares a Unix, con más del 60% de los servidores de correo accesibles públicamente en Internet ejecutando el software. Una búsqueda de Shodan revela casi cuatro millones de servidores Exim que están expuestos en línea.
A la luz de los recientes ataques al servidor de Microsoft Exchange, es imperativo que los parches se apliquen de inmediato, ya que los servidores de correo electrónico se han convertido en un lucrativo objetivo para las campañas de espionaje. En el pasado, las fallas en el software Exim han sido explotadas activamente por malos actores para montar una variedad de ataques, incluida la implementación de un gusano Linux para instalar mineros de criptomonedas en los servidores afectados.
En mayo pasado, la Agencia de Seguridad Nacional de EE. UU. (NSA) advirtió que los operativos militares rusos, conocidos públicamente como Sandworm Team, se estaban aprovechando de una vulnerabilidad de ejecución remota de código rastreada como CVE-2019-10149 (también conocida como The Return of the WIZard) para "agregar usuarios privilegiados, deshabilitar la configuración de seguridad de la red, ejecutar scripts adicionales para una mayor explotación de la red "al menos desde agosto de 2019.
La NSA lo llamó un "acceso soñado por un atacante".
"Los agentes de transferencia de correo son objetivos interesantes para los atacantes porque generalmente son accesibles a través de Internet", dijo Jogi. "Una vez explotados, podrían modificar la configuración confidencial del correo electrónico en los servidores de correo y permitir que los adversarios creen nuevas cuentas en los servidores de correo de destino".