Nguy cơ máy chủ mail Exim bị tấn công từ xa
Exim là một trong những máy chủ email được cài đặt trên hệ điều hành mã nguồn mở sử dụng rộng rãi nhất hiện nay. Một số lỗ hổng nghiêm trọng nhất được phát hiện trong Exim trong thời gian gần đây bao gồm:
CVE-2023-42114 (ZDI-23-1468): Lỗ hổng này cho phép tin tặc đọc thông tin không được phép từ vùng nhớ (out-of-bounds read) và tiết lộ dữ liệu nhạy cảm. Với số điểm đánh giá mức độ nghiêm trọng CVSS là 3,7 thì lỗ hổng này dù ở mức độ nhẹ hơn nhưng cũng không thể bỏ qua một cách dễ dàng. Cụ thể, lỗ hổng này liên quan đến việc xử lý gói tin NTLM (NT LAN Manager), một giao thức chứng thực được sử dụng trong môi trường Windows. Khi Exim xử lý yêu cầu NTLM, có lỗi xảy ra trong quá trình đọc gói tin, dẫn đến việc đọc ngoài phạm vi vùng nhớ đã cấp phát và tiết lộ dữ liệu quan trọng từ bộ nhớ. Tin tặc có thể tận dụng lỗ hổng này để đọc dữ liệu nhạy cảm từ bộ nhớ và sử dụng nó cho mục đích xấu, chẳng hạn như xác định thông tin đăng nhập hoặc quyền truy cập.
CVE-2023-42115 (ZDI-23-1469): Lỗ hổng thực thi mã từ xa thông qua lỗi ghi ngoài giới hạn. Được biết đến với điểm CVSS ở mức nghiêm trọng là 9,8 thì lỗ hổng này cho phép những kẻ tấn công từ xa có thể nhúng mã tùy ý trong dịch vụ SMTP. Lỗ hổng này cho phép tin tặc thực hiện việc ghi (write) ngoài phạm vi vùng nhớ (out-of-bounds write) thông qua quá trình xác thực (authentication) AUTH - phương thức xác thực trong Exim cho phép người dùng chứng thực trước khi gửi hoặc nhận thư điện tử. Tin tặc có thể tận dụng điều này để thực hiện việc ghi (write) dữ liệu xấu vào bộ nhớ và thực thi mã từ xa, tiềm ẩn nguy cơ tiến hành các hành động xâm nhập hoặc kiểm soát hệ thống.
CVE-2023-42116 (ZDI-23-1470): Lỗ hổng thực thi mã từ xa thông qua lỗi tràn bộ đệm. Một lỗ hổng đáng báo động khác, CVE-2023-42116, đã mở ra con đường cho tin tặc đưa mã tùy ý vào Exim. Lỗ hổng này nằm trong quá trình xử lý các yêu cầu của khâu xác thực NTLM (NT LAN Manager), xuất hiện do việc xác thực độ dài dữ liệu đầu vào của người dùng không đầy đủ, dẫn đến các tình huống tràn bộ đệm có thể xảy ra.
CVE-2023-42117 (ZDI-23-1471): Lỗ hổng thực thi mã từ xa trong dịch vụ SMTP. Đây là một lỗ hổng nghiêm trọng với điểm CVSS là 8,1. Các quy trình xác thực không đầy đủ có thể làm phát sinh các tình huống hỏng bộ nhớ, tạo điều kiện cho những kẻ tấn công thực thi mã từ xa và gây nguy hiểm cho các tiến trình.
CVE-2023-42118 (ZDI-23-1472): Lỗ hổng thực thi mã từ xa qua thư viện libspf2. Lỗ hổng CVE-2023-42118, đạt điểm CVSS là 7,5 tạo cơ hội cho kẻ tấn công thực thi mã tùy ý vào bộ thư viện libspf2 của Exim. Lỗ hổng cụ thể này xuất hiện trong quá trình phân tích cú pháp (parsing) các macros SPF (Sender Policy Framework). SPF là một giao thức được sử dụng để xác định xem một máy chủ thư điện tử được phép gửi thư điện tử từ một miền nhất định hay không. Trong trường hợp này, quá trình phân tích cú pháp SPF không xác thực đúng cách dữ liệu do người dùng cung cấp, điều này có thể dẫn đến việc giảm giá trị một số nguyên dưới mức hợp lệ trước khi ghi vào bộ nhớ (integer underflow), gây ra lỗi trong quá trình thực thi chương trình.
CVE-2023-42119 (ZDI-23-1473): Lỗ hổng đọc ngoài giới hạn, cho phép kẻ tấn công lấy được dữ liệu nhạy cảm. Với điểm CVSS là 3,1 thì lỗ hổng này nhìn có vẻ vô hại nhưng nó cho phép những kẻ tấn công có khả năng lấy được thông tin nhạy cảm về quá trình cài đặt Exim. Lỗ hổng nằm trong dịch vụ SMTP và lắng nghe trên cổng TCP 25, xuất phát từ việc xác thực không đầy đủ dữ liệu do người dùng cung cấp, lỗi cho phép đọc vượt quá bộ đệm được phân bổ. Những kẻ tấn công có thể thao túng lỗi này cùng với các lỗ hổng khác để thực thi các mã tùy ý.
Các lỗ hổng được các chuyên gia bảo mật phát hiện thông qua chương trình ZDI (Zero Day Initiative). Theo khuyến nghị nếu bạn đang sử dụng Exim, điều quan trọng là phải cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các lỗ hổng an ninh này. Trong trường hợp không có bản vá, ZDI khuyến nghị hạn chế tương tác với ứng dụng như một chiến lược giảm thiểu nguy cơ bảo mật.
Tài liệu tham khảo 1. https://www.exim.org/ 2. https://thehackernews.com/2023/09/new-critical-security-flaws-expose-exim.html 3. https://thehackernews.com/2021/05/alert-new-21nails-exim-bugs-expose.html 4. https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 5. https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 6. https://www.zerodayinitiative.com/advisories/ZDI-23-1473/ |
Trương Đình Dũng