Exim, el agente de transferencia de correo (MTA) de código abierto ampliamente utilizado, ha publicado una actualización de seguridad urgente relativa a las versiones de Exim, hasta la 4.92.2 inclusive. La vulnerabilidad (CVE-2019-16928) es un problema de desbordamiento de búfer basado en heap (corrupción de memoria) en string_vformat definido en el archivo string.c del componente EHLO Command Handler, lo que permite a los hackers desencadenar una denegación de servicio en un servidor Exim objetivo utilizando una línea específicamente diseñada en el comando EHLO. Según Exim, existe un exploit PoC conocido para esta vulnerabilidad, que permite bloquear el proceso Exim.
¿Cuál es el riesgo?
Al igual que la vulnerabilidad Exim sobre la que escribimos hace apenas 3 semanas, el 9 de septiembre, esta vulnerabilidad permite a los atacantes ejecutar remotamente código malicioso con privilegios de root en el servidor. Y al igual que la CVE del 9 de septiembre, dado que este nivel de acceso conlleva un riesgo masivo y es probable que se explote en poco tiempo, también se le otorgó un 9,8 sobre 10 en la escala de calificación crítica de CVE.
Una vez comprometido el servidor de correo, los hackers pueden acceder también a todo lo demás del servidor, incluidos certificados, bases de datos y credenciales. Esto significa que los servidores que alojan múltiples dominios son objetivos más atractivos. Hemos analizado alrededor de 2 millones de servidores y hemos desglosado el número de dominios alojados para descubrir que 26.553 servidores alojan más de 5 dominios y 4.542 servidores alojan más de 25 dominios:
| Dominios alojados |
Total |
| Menos del 5 |
3,753,944 |
| 5 - 25 |
22,011 |
| 25 - 50 |
4,344 |
| 50 - 75 |
71 |
| 75 - 100 |
125 |
| Superior al 100 |
2 |
| Total |
3,780,497 |
Búsqueda en Censys de los servidores afectados
Buscamos en todo Internet para encontrar todos los servidores Exim expuestos afectados por esta vulnerabilidad. En concreto, hemos buscado todos los servidores que ejecutan la versión 4.92.2 o versiones anteriores, que están afectadas por la CVE. Utilizando nuestra interfaz de búsqueda web, puede utilizar la siguiente consulta (añadiendo su nombre de dominio en los 2 espacios de marcador de posición) para determinar qué versión está ejecutando:
Consulta:
https://censys.io/ipv4?q=%28465.smtp.tls.metadata.product%3A+exim+OR+587.smtp.starttls.metadata.product%3A+exim%29+AND+%28465.smtp.tls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E+OR+587.smtp.starttls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E%29
Censys Interfaz de búsqueda web:
Exim recomienda encarecidamente que los administradores de servidores instalen la última versión de Exim 4.92.3 lo antes posible, ya que no existe ninguna solución conocida para resolver temporalmente este problema.
