Exim, l'agent de transfert de courrier (MTA) open-source largement utilisé, a publié une mise à jour de sécurité urgente concernant les versions d'Exim, jusqu'à la version 4.92.2 incluse. La vulnérabilité (CVE-2019-16928) est un problème de débordement de mémoire tampon basé sur le tas (corruption de la mémoire) dans string_vformat défini dans le fichier string.c du composant EHLO Command Handler, permettant aux pirates de déclencher un déni de service sur un serveur Exim ciblé à l'aide d'une ligne spécifiquement élaborée dans la commande EHLO. Selon Exim, il existe un exploit PoC connu pour cette vulnérabilité, qui permet de planter le processus Exim.
Quel est le risque ?
Tout comme la vulnérabilité Exim dont nous avons parlé il y a tout juste trois semaines, le 9 septembre, cette vulnérabilité permet aux attaquants d'exécuter à distance un code malveillant avec les privilèges de root sur le serveur. Et comme pour le CVE du 9 septembre, ce niveau d'accès comporte un risque énorme et est susceptible d'être exploité rapidement, il lui a également été attribué une note de 9,8 sur 10 sur l'échelle d'évaluation critique du CVE.
Une fois le serveur de messagerie compromis, les pirates peuvent accéder à tous les autres éléments du serveur, y compris les certificats, les bases de données et les informations d'identification. Cela signifie que les serveurs hébergeant plusieurs domaines sont des cibles plus attrayantes. Nous avons examiné environ 2 millions de serveurs et décomposé le nombre de domaines hébergés pour constater que 26 553 serveurs hébergent plus de 5 domaines et que 4 542 serveurs hébergent plus de 25 domaines :
| Domaines hébergés |
Total |
| Moins de 5 |
3,753,944 |
| 5 - 25 |
22,011 |
| 25 - 50 |
4,344 |
| 50 - 75 |
71 |
| 75 - 100 |
125 |
| Supérieure à 100 |
2 |
| Total |
3,780,497 |
Recherche de Censys pour vos serveurs affectés
Nous avons parcouru l'ensemble de l'Internet pour trouver tous les serveurs Exim exposés affectés par cette vulnérabilité. Plus précisément, nous avons recherché tous les serveurs utilisant la version 4.92.2 ou des versions antérieures, qui sont affectées par la CVE. En utilisant notre interface de recherche web, vous pouvez utiliser la requête suivante (en ajoutant votre nom de domaine dans les 2 espaces réservés) pour déterminer la version que vous utilisez :
Requête :
https://censys.io/ipv4?q=%28465.smtp.tls.metadata.product%3A+exim+OR+587.smtp.starttls.metadata.product%3A+exim%29+AND+%28465.smtp.tls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E+OR+587.smtp.starttls.tls.certificate.parsed.names%3A+%3CINSERT+DOMAIN+HERE%3E%29
Censys Interface utilisateur pour la recherche sur le web :
Exim recommande vivement aux administrateurs de serveurs d'installer la dernière version d'Exim 4.92.3 dès que possible, étant donné qu'il n'y a pas de solution connue pour résoudre temporairement ce problème.
