Gravi Vulnerabilità Su Mail Transport Agent “Exim” 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di importanti vulnerabilità all’interno della suite di servizi “Exim”, noto applicativo open-source per la realizzazione di MTA (Mail Transfer Agent) trasversalmente utilizzato sia da provider di servizi email e organizzazioni, che ne all'interno di soluzione software come Sophos Antispam. Le criticità sono note con gli identificativi CVE-2017-16944 e CVE-2017-16943.

Figura 1. Servizi SMTP Exim versione 4.88 e 4.89 rilevati all'interno del panorama italiano (Fonte:ShodanHQ)

Le vulnerabilità sono causate da lacune nella gestione della memoria all'interno dell’agente SMTP di Exim 4.88 e 4.89, in particolare:

• Un attaccante remoto privo di autenticazione in grado di connettersi al servizio SMTP ed inviare messaggi BDAT  opportunamente creati può eseguire codice arbitrario all’interno del server bersaglio, accedendo abusivamente all'infrastruttura vittima (CVE-2017-16943)
• Un attaccante remoto, non autenticato, in grado di inviare appositi messaggi BDAT al servizio SMTP di Exim può allocare risorse di sistema in maniera prolungata tali da causare importanti disservizi e condizioni di DoS legati all'esaurimento delle risorse macchina (CVE-2017-16944)

Il Manutentore ha confermato le problematiche e pubblicato patch di sicurezza all’interno della versione 4.90 di Exim (bugs.exim.org/2199 e bugs.exim.org/2201).

Siccome dettagli tecnici e script atti alla riproduzione delle problematiche sono stati resi pubblici, Yoroi consiglia di verificare la presenza di servizi SMPT Exim esposti al pubblico ed applicare al più presto gli aggiornamenti disponibili per i Vostri sistemi. 

In attesa del rilascio di bollettini di sicurezza ed eventuali aggiornamenti software da parte dei Vendor che utilizzano Exim all'interno delle loro soluzioni, Yoroi consiglia caldamente di applicare il workaround indicato dai Manutentori al fine di mitigare il rischio di compromissioni sui servizi esposti al pubblico afflitti dalle problematiche: modificare la configurazione di  Exim ed aggiungere la seguente linea “chunking_advertise_hosts = “  all'interno della sezione principale.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index