Milhares de servidores com Exim vulneráveis a nova falha
O Exim é um dos MTA mais usados por servidores na internet, para o envio de emails a partir dos mesmos. No entanto, foi recentemente descoberta uma falha no mesmo que, se explorada, por permitir aos utilizadores maliciosos executarem código malicioso nos sistemas.
A falha foi descoberta por investigadores da Zero Day Initiative (ZDI) da Trend Micro, sendo que explora o SMTP associado com o sistema MTA do Exim. Apesar de esta falha poder, normalmente, ser usada para realizar crash dos serviços associados ou a corrupção de dados, esta também permite que os atacantes possam executar código potencialmente malicioso nos sistemas vulneráveis.
De acordo com os investigadores, a falha explora o serviço de SMTP, por padrão na porta 25. Devido à falta de validação dos dados, é possível que os atacantes possam executar remotamente código malicioso explorando esta falha. Como o EXIM é normalmente executado como parte de uma conta com acesso administrativo, isso pode levar a que os comandos sejam executados nos sistemas.
A equipa de segurança da ZDI notificou os criadores do Exim da falha em Junho de 2022, tendo sido enviada uma lembrança em Maio de 2023, mas os criadores do Exim falharam em fornecer a correção para a mesma dentro deste período ou em atualizar o progresso para tal. A falha foi oficialmente publicada no dia 27 de Setembro, juntamente com alguns dos detalhes.
Esta falha possui o potencial de explorar uma larga quantidade de sites, em parte tendo em conta que o Exim é um serviço bastante usado por servidores na Internet. Existem milhares de servidores que usam o mesmo para o envio de mensagens. Este é também o MTA mais popular atualmente na internet, de acordo com os dados mais recentes de Setembro de 2023. Estima-se que 56% de 602.000 dos maiores servidores de email na internet estejam configurados sobre o Exim, o que corresponde a cerca de 342.000 sistemas potencialmente vulneráveis a ataques.
De momento ainda não se encontra disponível um patch ou correção para esta falha, sendo que a recomendação da ZDI passa pelos administradores dos sistemas bloquearem as portas acessíveis pelo EXIM publicamente – o que pode ser complicado em certas situações.