Se ha descubierto una vulnerabilidad crítica de ejecución remota de código en el popular software de servidor de correo electrónico de código abierto Exim, que deja al menos medio millón de servidores de correo electrónico vulnerables a piratas informáticos remotos.
Los mantenedores de Exim lanzaron hoy la versión 4.92.2 de Exim después de publicar una advertencia temprana hace dos días, brindando a los administradores del sistema un aviso sobre los próximos parches de seguridad que afectan a todas las versiones del software del servidor de correo electrónico hasta la última 4.92.1 inclusive.
Exim es un software de agente de transferencia de correo (MTA) de código abierto ampliamente utilizado desarrollado para sistemas operativos similares a Unix, como Linux, Mac OSX o Solaris, que ejecuta casi el 60% de los servidores de correo electrónico de Internet en la actualidad para enrutar, entregar y recibir mensajes de correo electrónico. .
Rastreada como CVE-2019-15846, la vulnerabilidad de seguridad solo afecta a los servidores Exim que aceptan conexiones TLS, lo que podría permitir a los atacantes obtener acceso de nivel raíz al sistema «enviando un SNI que termina en una secuencia nula de barra invertida durante el protocolo de enlace TLS inicial. «
SNI, siglas de Server Name Indication, es una extensión del protocolo TLS que permite que el servidor aloje de manera segura múltiples certificados TLS para múltiples sitios, todo bajo una sola dirección IP.
Según el equipo de Exim, dado que la vulnerabilidad no depende de la biblioteca TLS utilizada por el servidor, tanto GnuTLS como OpenSSL se ven afectados.
Además, aunque la configuración predeterminada del software del servidor de correo Exim no viene con TLS habilitado, algunos sistemas operativos incluyen el software Exim con la característica vulnerable habilitada de manera predeterminada.
La vulnerabilidad fue descubierta por un colaborador de código abierto e investigador de seguridad que utiliza el alias en línea Zerons y fue analizada por expertos en seguridad cibernética de Qualys.
Hace solo tres meses, Exim también parchó una grave vulnerabilidad de ejecución remota de comandos, rastreada como CVE-2019-10149, que varios grupos de piratas informáticos explotaron activamente para comprometer servidores vulnerables.
El aviso de Exim dice que existe una prueba de concepto (PoC) rudimentaria para esta falla, pero actualmente no hay ningún exploit conocido disponible para el público.
Se recomienda encarecidamente a los administradores de servidores que instalen la última versión de Exim 4.92.2 de inmediato y, si no es posible, pueden mitigar el problema al no permitir que los servidores Exim sin parches acepten conexiones TLS.
El equipo dice: «Si no puede instalar las versiones anteriores, pídale al responsable del paquete una versión que contenga la solución retroportada. Si lo solicita y dependiendo de nuestros recursos, lo ayudaremos a respaldar la corrección».
