Lỗ hổng trên máy chủ email Exim cho phép thực thi mã từ xa với đặc quyền root
Theo các nhà phát triển của Exim, lỗ hổng này có định danh CVE-2019-15846, ảnh hưởng đến Exim phiên bản 4.92.1 và các phiên bản phát hành trước đó. Hiện tại, Exim đã phát hành phiên bản 4.92.2 để khắc phục lỗ hổng này.
Đây là lỗ hổng tràn bộ đệm heap, ảnh hưởng đến các máy chủ Exim cho phép các kết nối TLS. Các nhà phát triển nhấn mạnh rằng, việc khai thác không phụ thuộc vào thư viện TLS được sử dụng, nên cả GnuTLS và OpenSSL đều bị ảnh hưởng. Lỗ hổng có thể bị khai thác bằng cách gửi một kết thúc SNI trong dãy gạch chéo-null trong tiến trình bắt tay TLS ban đầu.
Mặc dù chưa có bằng chứng về việc khai thác lỗ hổng trong thực tế, nhưng các nhà nghiên cứu của công ty an toàn mạng Qualys (Mỹ) đã phân tích lỗ hổng và xây dựng một chứng minh khái niệm (PoC) cơ bản để chứng minh việc tràn bộ đệm heap là có thể khai thác được. Lỗ hổng này đã được báo cáo với nhà phát triển Exim vào ngày 21/7 bởi một nhà nghiên cứu có biệt danh trực tuyến là “Zerons”.
Lỗ hổng CVE-2019-15846 có thể ngăn chặn bằng cách cấu hình máy chủ không cho phép kết nối TLS, nhưng cách này không được các chuyên gia khuyến nghị. Một cách khác là thêm các quy tắc cụ thể vào danh sách kiểm soát truy cập (access control list).
Tuy nhiên, chuyên gia bảo mật máy tính Craig Young thuộc đội ngũ nghiên cứu lỗ hổng của công ty an toàn mạng Tripwire (Mỹ) nhận định rằng, lỗ hổng tràn bộ đệm trong Exim không trực tiếp cho phép tin tặc thực thi lệnh với đặc quyền root, thay vào đó là ghi đè bộ nhớ mà từ đó có thể thực thi mã. Điều này khác với việc cho phép thực thi mã từ xa bởi để thực hiện điều này, tin tặc phải vượt qua những cản trở trong tiến trình thực thi của chương trình, cũng như các biện pháp giảm thiểu khai thác của hệ điều hành.
Exim là một trong những máy chủ email được sử dụng rộng rãi nhất hiện nay. Theo thống kê của công cụ tìm kiếm Shodan, có khoảng 5 triệu máy đang được sử dụng, chiếm đa phần số máy chủ email tại Mỹ. Điều này khiến Exim trở thành mục tiêu hấp dẫn của tin tặc.
Trước đó vào tháng 6/2019, các chuyên gia cũng đã cảnh bảo về lỗ hổng có định danh CVE-2019-10149 trong Exim (đã có bản vá) bị khai thác để phán tán mã độc đào tiền ảo.
M.C