Основы Интернет - технологий.

Специалисты Trend Micro Zero Day Initiative (ZDI) предупредили сразу о нескольких уязвимостях в агенте пересылки сообщений Exim. Самая серьезная из этих проблем затрагивает все версии Exim и позволяет добиться удаленного выполнения кода без аутентификации. Ситуация усугубляется тем, что Exim используют сотни тысяч или даже миллионы почтовых серверов по всему миру. Так, согласно данным Security Space, Exim установлен более чем на 56% почтовых серверов (342 337), обнаруженных в интернете. По информации Shodan, в мире и вовсе насчитывается более 3,5 млн серверов с Exim на борту. Уязвимость CVE-2023-42115 (9,8 балла по шкале CVSS) была обнаружена исследователем, который предпочел остаться неизвестным. Проблема связана с out-of-bounds записью в компоненте Exim, который отвечает за аутентификацию, и может использоваться для удаленного выполнения кода или команд на уязвимых серверах. «Уязвимость связана со службой smtp, которая по умолчанию прослушивает TCP-порт 25, — сообщают специалисты ZDI. — Проблема возникает из-за отсутствия надлежащей проверки предоставляемых пользователем данных, что может привести к записи за пределы буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы». При этом бюллетень безопасности гласит, что эксперты ZDI уведомили разработчиков Exim об этой уязвимости еще в июне 2022 года, а также повторно отправили информацию о проблеме по их запросу мае 2023 года. Однако разработчики так и не предоставили никакой информации о работе над патчем. В итоге в ZDI приняли решение обнародовать информацию об этой проблеме. Помимо этого 0-day бага в ZDI раскрыли информацию сразу о пяти других уязвимостях в Exim: CVE-2023-42114 (3,7 балла по шкале CVSS) — уязвимость Exim NTLM Challenge, связанная с out-of-bounds чтением и раскрытием информации; CVE-2023-42116 (8,1 балла по шкале CVSS) — уязвимость Exim SMTP Challenge, связанная с переполнением буфера и удаленным выполнением кода; CVE-2023-42117 (8,1 балла по шкале CVSS) — еще одна RCE-уязвимость, связанная с некорректной нейтрализация специальных элементов; CVE-2023-42118 (7,5 балла по шкале CVSS) — уязвимость Exim libspf2, связанная с целочисленным антипереполненим и тоже ведущая к удаленному выполнению кода; CVE-2023-42119 (3,1 балла по шкале CVSS) — уязвимость Exim dnsdb, связанная с out-of-bounds чтением и раскрытием информации. Лишь после публикации этого длинного списка багов, один из разработчиков Exim сообщил в рассылке OSS-Sec, что исправления для двух наиболее опасных уязвимостей (а также для третьей, менее серьезной) уже доступны в «защищенном репозитории и готовы к применению сопровождающими дистрибутива». Более подробной информации о патчах, а также о том, как именно администраторы их получат, не поступало. Также неизвестно, существуют ли какие-то иные средства защиты от перечисленных проблем для тех, кто не сможет установить исправления сразу. При этом в упомянутой рассылке разработчики Exim подтверждают, что получили первый приватный отчет от ZDI еще в июне 2022 года, после чего запросили дополнительные подробности, «но не получили ответов, с которыми можно было бы работать». Следующий контакт между ZDI и разработчиками состоялся только в мае 2023 года, и после этого началась работа над патчами для трех из шести уязвимостей. «Остальные проблемы являются спорными или не содержат информации, необходимой для их устранения», — пишут разработчики. В свою очередь в ZDI отвечают, что сроки раскрытия информации и так были превышены на многие месяцы. «Мы уведомили сопровождающих о нашем намерении публично раскрыть информацию об этих ошибках, после чего нам ответили: “делайте, что делаете”, — сообщают в ZDI. — Если ошибки будут надлежащим образом устранены, мы обновим наши рекомендации, добавив ссылки на бюллетени безопасности, проверки и любую другую общедоступную документацию, связанную с этими проблемами». Пока в ZDI советуют администраторам ограничить удаленный доступ из интернета, чтобы предотвратить вероятные попытки взлома. В итоге и специалисты ZDI и разработчики Exim подверглись критике со стороны ИБ-специалистов. К примеру, эксперт, известный под ником Solar Designer, пишет: «Похоже, к этим уязвимостям отнеслись небрежно как на стороне ZDI, так и на стороне Exim. Ни одна из команд не пинговала другую в течение 10 месяцев, а Exim потребовалось четыре месяца, чтобы исправить даже те две проблемы, по которым они получили достаточную информацию».