Getty Images
Des milliers de serveurs exécutant l’agent de transfert de courrier Exim sont vulnérables aux attaques potentielles exploitant des vulnérabilités critiques, permettant l’exécution à distance de code malveillant avec peu ou pas d’interaction de l’utilisateur.
Les vulnérabilités ont été signalées mercredi par Zero Day Initiative, mais elles ont largement échappé à l’attention jusqu’à vendredi, lorsqu’elles ont fait surface dans une liste de diffusion de sécurité. Quatre des six bogues permettent l’exécution de code à distance et portent des indices de gravité de 7,5 à 9,8 sur 10 possibles. Exim a déclaré avoir mis à disposition des correctifs pour trois des vulnérabilités dans un référentiel privé. L’état des correctifs pour les trois vulnérabilités restantes, dont deux autorisent le RCE, est inconnu. Exim est un agent de transfert de courrier open source utilisé par pas moins de 253 000 serveurs sur Internet.
« Manipulation bâclée » des deux côtés
ZDI n’a fourni aucune indication qu’Exim avait publié des correctifs pour l’une des vulnérabilités, et au moment où cet article a été mis en ligne sur Ars, le site Web d’Exim n’a fait aucune mention des vulnérabilités ou des correctifs. Vendredi, sur la liste de diffusion OSS-Sec, un membre de l’équipe du projet Exim a déclaré que les correctifs pour deux des vulnérabilités les plus graves et une troisième, moins grave, sont disponibles dans un « référentiel protégé et sont prêts à être appliqués par les responsables de la distribution. »
Il n’y avait pas plus de détails sur les correctifs, ni précisément sur la manière dont les administrateurs les obtiennent, ni sur la possibilité d’atténuer les correctifs pour ceux qui ne peuvent pas les appliquer immédiatement. Les membres de l’équipe du projet Exim n’ont pas répondu à un e-mail demandant des informations supplémentaires.
La vulnérabilité la plus grave, identifiée comme CVE-2023-42115, fait partie de celles qui, selon le membre de l’équipe Exim, ont été corrigées. ZDI l’a décrit comme une faille hors limites dans un composant Exim qui gère l’authentification.
« Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur les installations affectées d’Exim », indique l’avis de mercredi. « L’authentification n’est pas requise pour exploiter cette vulnérabilité. »
Une autre vulnérabilité corrigée, identifiée comme CVE-2023-42116, est un débordement basé sur la pile dans le composant de défi Exim. Son indice de gravité est de 8,1 et permet également le RCE.
« La faille spécifique existe dans le traitement des demandes de défi NTLM », a déclaré ZDI. « Le problème résulte du manque de validation appropriée de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon basé sur une pile de longueur fixe. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service.
La troisième vulnérabilité corrigée est identifiée comme CVE-2023-42114, qui permet la divulgation d’informations sensibles. Il porte une note de 3,7.
Certains critiques ont critiqué le projet Exim pour ne pas avoir divulgué les vulnérabilités de manière transparente. Pour alimenter les critiques, les divulgations de ZDI ont fourni un calendrier indiquant que les représentants de l’entreprise ont informé les membres du projet Exim des vulnérabilités en juin 2022. Une poignée d’interactions de va-et-vient ont eu lieu au cours des mois qui ont suivi jusqu’à ce que ZDI les divulgue mercredi.
Dans un message publié vendredi sur la liste de diffusion OSS-Sec, Heiko Schlittermann, membre de l’équipe du projet Exim, a déclaré qu’après avoir reçu le rapport privé ZDI en juin 2022, les membres de l’équipe ont demandé des détails supplémentaires « mais n’ont pas obtenu de réponses avec lesquelles nous avons pu travailler. .» Le prochain contact n’a eu lieu qu’en mai 2023. « Juste après ce contact, nous avons créé un système de suivi des bogues du projet pour 3 des 6 problèmes », a déclaré Schlittermann. « Les problèmes restants sont discutables ou manquent d’informations dont nous avons besoin pour les résoudre. »
Certaines personnes participant à la discussion ont critiqué les deux côtés.
« Cela ressemble à une gestion bâclée de ces problèmes jusqu’à présent par ZDI et Exim – aucune des équipes n’a envoyé de requête ping à l’autre pendant 10 mois, puis Exim a mis 4 mois pour résoudre même les 2 problèmes les plus notés sur lesquels il disposait de suffisamment d’informations », a déclaré le distingué. » a écrit un chercheur en sécurité connu sous le nom de Solar Designer. « Que faites-vous pour améliorer la maniabilité à partir de ce point ? »
Le critique a également demandé à Schlittermann quand les distributions de système d’exploitation seraient autorisées à rendre publiques les mises à jour d’Exim puisque les correctifs se trouvent actuellement dans un référentiel protégé. « Je vous suggère de définir une date/heure spécifique, par exemple dans 2 jours, à laquelle le projet Exim fera le dépôt et les entrées de bogues corrigés… les distributions publiques _et_ publieront des mises à jour. »
Personne d’Exim n’a répondu à ces questions ni, comme mentionné précédemment, aux questions envoyées par Ars par courrier électronique peu de temps après.
Avec seulement un nombre limité de détails disponibles si tard un vendredi, les correctifs et les atténuations potentielles peuvent ne pas être aussi simples que certains administrateurs pourraient l’espérer. Malgré les difficultés potentielles, les vulnérabilités semblent sérieuses. En 2020, la National Security Agency a signalé que les pirates informatiques de Sandworm, un acteur menaçant d’élite soutenu par le Kremlin, avaient exploité une vulnérabilité critique d’Exim pour compromettre les réseaux appartenant au gouvernement américain et à ses partenaires. Maintenant que de nouvelles vulnérabilités Exim ont été découvertes, il ne serait pas surprenant que les acteurs malveillants espèrent en tirer parti.