• Tuesday, June 11, 2019

Caro cliente,
Uma vulnerabilidade crítica afeta as versões 4.87 ao 4.91 do software exim mail transfer agent (MTA). 

A falha pode ser explorada por atacantes remotos não autenticados para executar comandos arbitrários no servidores de correio para algumas configurações de servidor não padrão. 

A vulnerabilidade, rastreado como CVE-2019-10149, reside na função deliver_message() em /src/deliver.c e é causada pela validação imprópria de endereços de destinatários. 

A questão pode levar à execução remota de código com privilégios de root no servidor de correio.

Neste caso particular, RCE significa; remoto comando de execução, não remoto execução de código. 

Um atacante pode executar comandos arbitrários com execv(), a partir do root nenhuma corrupção de memória ou ROP (Programação de retorno orientada) está envolvido.

Diz o alerta de segurança publicado pela Qualys;

Esta vulnerabilidade é explorável instantaneamente por um invasor local e por um atacante remoto em certas configurações não padrão.

A falha CVE-2019-10149 foi chamado de The Return of The Wizard, uma referência aos antigos WIZ e DEBUG as vulnerabilidades do Sendmail. 

A falha é facilmente explorável por um atacante remoto em certas configurações não padrão local e, os especialistas acreditam que os atores de ameaças vão começar a usá-lo em ataques em estado selvagem.

Especialistas explicou que, a fim de explorar remotamente essa vulnerabilidade na configuração padrão, os invasores precisam manter uma conexão com o servidor vulnerável aberta durante 7 dias. 

É necessário transmitir um byte a cada poucos minutos, no entanto, os especialistas não podem garantir que este método de exploração é a única.

Especialistas apontam para que as seguintes configurações Exim não padrão podem serem facilmente explorada por um atacante remoto: 

Se o "verify = recipient" ACL foi removido manualmente por um administrador (talvez para evitar a enumeração nome de usuário via RCPT para "localhost"), então o nosso local-exploração método também funciona remotamente.

Se o Exim foi configurado para reconhecer as etiquetas na parte local do endereço do destinatário (via "local_part_suffix = +* : -*”", por exemplo), em seguida, um atacante remoto pode simplesmente reutilizar o nosso método de exploração local com um RCPT para "localhost" (onde balrog é o nome de um usuário local).

Se o Exim foi configurado para retransmitir e-mail para um domínio remoto, como um MX secundário (Mail eXchange), em seguida, um atacante remoto pode simplesmente reutilizar o nosso método de exploração local com um RCPT para "khazad.dum" (onde "khazad.dum" é um dos relay_to_domains do Exim). 

Na verdade, o ACL "verify = recipient" só pode verificar a parte do domínio de um endereço remoto (a parte que segue o sinal @), não a parte local.

A falha CVE-2019-10149 foi abordada pela equipe de desenvolvimento do Exim com o lançamento da versão 4.92 em fevereiro de 2019. 

Infelizmente, um grande número de sistemas operacionais ainda são afetados pela vulnerabilidade.

No querying shodan para versões vulneráveis do Exim, é possível encontrar  3.931,634 instalações, onde a maioria deles estão localizados nos Estados Unidos (2.699,663).

Solução:

Já tomamos as medidas para os nossos serviços gerenciados. 
Se você estiver usando o nosso serviço gerenciado ou se você estiver usando a nossa hospedagem de sites, revenda de hospedagem, ou servidores dedicados e cloud com cPanel, já foi feita a correção para você. Você não precisará fazer nada, e não se preocupar por causa desta situação.