CarderPlanet
Professional
В Exim mail transfer agent были обнаружены многочисленные уязвимости в системе безопасности, которые при успешном использовании могут привести к раскрытию информации и удаленному выполнению кода.
Список недостатков, о которых анонимно сообщалось еще в июне 2022 года, выглядит следующим образом -
"Специфическая ошибка существует в службе SMTP, которая по умолчанию прослушивает TCP-порт 25", - говорится в сообщении Zero Day Initiative, опубликованном на этой неделе.
"Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к записи за пределы буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы".
Разработчики Exim в сообщении, размещенном в списке рассылки по безопасности с открытым исходным кодом oss-security, сообщили, что исправления для CVE-2023-42114, CVE-2023-42115 и CVE-2023-42116 "доступны в защищенном репозитории и готовы к применению разработчиками дистрибутива".
"Оставшиеся проблемы являются спорными или не содержат информации, необходимой нам для их устранения", - добавил он, попросив ZDI подробнее рассказать о проблемах и о том, что он "не получал ответов, с которыми мы могли работать" до мая 2023 года. Команда Exim далее заявила, что ожидает подробных сведений о трех других недостатках.
Однако ZDI опровергла заявления о "неаккуратном обращении" и "ни одна из команд не пинговала другую в течение 10 месяцев", заявив, что несколько раз обращалась к разработчикам.
"После того, как наши сроки раскрытия информации были превышены на много месяцев, мы уведомили сопровождающего о нашем намерении публично раскрыть эти ошибки, после чего нам сказали: "Вы делаете то, что вы делаете", - говорится в сообщении.
"Если эти ошибки были надлежащим образом устранены, мы обновим наши рекомендации ссылкой на рекомендации по безопасности, проверку кода или другую общедоступную документацию, устраняющую проблему".
В отсутствие исправлений ZDI рекомендует ограничить взаимодействие с приложением в качестве единственной "существенной" стратегии смягчения последствий.
Это не первый случай, когда обнаруживаются недостатки безопасности в широко используемом агенте передачи почты. В мае 2021 года Qualys раскрыла набор из 21 уязвимости, которые в совокупности отслеживаются как 21Nails и которые позволяют злоумышленникам, не прошедшим проверку подлинности, добиться полного удаленного выполнения кода и получить привилегии root.
Ранее, в мае 2020 года, правительство США сообщило, что хакеры, связанные с Sandworm, спонсируемой государством группой из России, использовали критическую уязвимость Exim (CVE-2019-10149, оценка CVSS: 9,8) для проникновения в конфиденциальные сети.
Разработка также идет по горячим следам нового исследования исследователей из Калифорнийского университета в Сан-Диего, которые обнаружили новую технику, называемую подделкой на основе пересылки, которая использует недостатки в пересылке электронной почты для отправки сообщений, выдавая себя за законные организации, тем самым ставя под угрозу целостность.
"Исходный протокол, используемый для проверки подлинности электронной почты, неявно предполагает, что каждая организация управляет своей собственной почтовой инфраструктурой с определенными IP-адресами, не используемыми другими доменами", - обнаружили исследователи.
"Но сегодня многие организации передают свою инфраструктуру электронной почты на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право отправлять электронную почту от своего имени одной и той же третьей стороне. Хотя эти сторонние поставщики подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти путем переадресации электронной почты ".
Список недостатков, о которых анонимно сообщалось еще в июне 2022 года, выглядит следующим образом -
- CVE-2023-42114 (оценка CVSS: 3,7) - Уязвимость Exim NTLM Challenge, связанная с раскрытием информации при чтении за пределами допустимых пределов
- CVE-2023-42115 (оценка CVSS: 9,8) - Уязвимость Exim AUTH для записи удаленного выполнения кода за пределы допустимых пределов
- CVE-2023-42116 (оценка CVSS: 8.1) - Уязвимость Exim SMTP Challenge переполнения буфера на основе стека удаленного выполнения кода
- CVE-2023-42117 (оценка CVSS: 8.1) - Уязвимость Exim при неправильной нейтрализации специальных элементов удаленного выполнения кода
- CVE-2023-42118 (оценка CVSS: 7.5) - Уязвимость Exim libspf2 для удаленного выполнения кода с целочисленным недопуском
- CVE-2023-42119 (оценка CVSS: 3.1) - Уязвимость Exim dnsdb при раскрытии информации для чтения за пределами допустимых пределов
"Специфическая ошибка существует в службе SMTP, которая по умолчанию прослушивает TCP-порт 25", - говорится в сообщении Zero Day Initiative, опубликованном на этой неделе.
"Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к записи за пределы буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы".
Разработчики Exim в сообщении, размещенном в списке рассылки по безопасности с открытым исходным кодом oss-security, сообщили, что исправления для CVE-2023-42114, CVE-2023-42115 и CVE-2023-42116 "доступны в защищенном репозитории и готовы к применению разработчиками дистрибутива".
"Оставшиеся проблемы являются спорными или не содержат информации, необходимой нам для их устранения", - добавил он, попросив ZDI подробнее рассказать о проблемах и о том, что он "не получал ответов, с которыми мы могли работать" до мая 2023 года. Команда Exim далее заявила, что ожидает подробных сведений о трех других недостатках.
Однако ZDI опровергла заявления о "неаккуратном обращении" и "ни одна из команд не пинговала другую в течение 10 месяцев", заявив, что несколько раз обращалась к разработчикам.
"После того, как наши сроки раскрытия информации были превышены на много месяцев, мы уведомили сопровождающего о нашем намерении публично раскрыть эти ошибки, после чего нам сказали: "Вы делаете то, что вы делаете", - говорится в сообщении.
"Если эти ошибки были надлежащим образом устранены, мы обновим наши рекомендации ссылкой на рекомендации по безопасности, проверку кода или другую общедоступную документацию, устраняющую проблему".
В отсутствие исправлений ZDI рекомендует ограничить взаимодействие с приложением в качестве единственной "существенной" стратегии смягчения последствий.
Это не первый случай, когда обнаруживаются недостатки безопасности в широко используемом агенте передачи почты. В мае 2021 года Qualys раскрыла набор из 21 уязвимости, которые в совокупности отслеживаются как 21Nails и которые позволяют злоумышленникам, не прошедшим проверку подлинности, добиться полного удаленного выполнения кода и получить привилегии root.
Ранее, в мае 2020 года, правительство США сообщило, что хакеры, связанные с Sandworm, спонсируемой государством группой из России, использовали критическую уязвимость Exim (CVE-2019-10149, оценка CVSS: 9,8) для проникновения в конфиденциальные сети.
Разработка также идет по горячим следам нового исследования исследователей из Калифорнийского университета в Сан-Диего, которые обнаружили новую технику, называемую подделкой на основе пересылки, которая использует недостатки в пересылке электронной почты для отправки сообщений, выдавая себя за законные организации, тем самым ставя под угрозу целостность.
"Исходный протокол, используемый для проверки подлинности электронной почты, неявно предполагает, что каждая организация управляет своей собственной почтовой инфраструктурой с определенными IP-адресами, не используемыми другими доменами", - обнаружили исследователи.
"Но сегодня многие организации передают свою инфраструктуру электронной почты на аутсорсинг Gmail и Outlook. В результате тысячи доменов делегировали право отправлять электронную почту от своего имени одной и той же третьей стороне. Хотя эти сторонние поставщики подтверждают, что их пользователи отправляют электронную почту только от имени доменов, которыми они управляют, эту защиту можно обойти путем переадресации электронной почты ".
