Vulnerabilidad afecta a la mitad de los servidores de correo electrónico

07/03/2018

Una vulnerabilidad crítica afecta a cientos de miles de servidores de correo electrónico. Se ha publicado una solución, pero esta falla afecta a más de la mitad de los servidores de correo electrónico de Internet, y reparar el problema llevará semanas o meses.

El error es una vulnerabilidad en Exim, un software de agente de transferencia de correo (MTA) que se ejecuta en servidores de correo electrónico y que retransmite correos electrónicos de remitentes a destinatarios.

Según una encuesta realizada en marzo de 2017, el 56% de todos los servidores de correo electrónico de Internet ejecutan Exim, con más de 560,000 disponibles en línea en ese momento. Otro informe más reciente pone ese número en millones.

El fallo permite ejecución remota de código

Un investigador de seguridad taiwanés llamado Meh Chang descubrió el error, e informó al equipo de Exim el 2 de febrero. El equipo de Exim lanzó la distribución Exim 4.90.1 el 10 de febrero que soluciona el problema de RCE.

El error CVE-2018-6789 se clasifica como una "ejecución de código remota previa a la autenticación", lo que significa que un atacante podría engañar al servidor de correo Exim para que ejecute comandos maliciosos antes de que el atacante tenga que autenticarse en el servidor.

El error real es un desbordamiento de búfer de un byte en la función de decodificación base64 de Exim y afecta a todas las versiones de Exim publicadas.

Chang describió el error en un blog publicado hoy, que detalla los pasos básicos para explotar el demonio SMTP de Exim.

No hay prueba de concepto o exploit disponible

En un aviso de seguridad, el equipo de Exim reconoció públicamente el problema. "Actualmente no estamos seguros sobre la gravedad, creemos que un exploit es difícil. Se desconoce una mitigación", dijo el equipo de Exim.

Desde el lanzamiento de Exim 4.90.1, las versiones actualizadas de Exim se han filtrado a las distribuciones de Linux utilizadas principalmente en los centros de datos, pero la pregunta sigue siendo sobre la cantidad de sistemas sin parches que permanecen en línea. Teniendo en cuenta que Exim es, por mucho, el agente de correo electrónico más popular, CVE-2018-6789 abre una gran superficie de ataque, y los propietarios del servidor Exim deben considerar implementar la actualización de Exim 4.90.1 lo antes posible.

En el momento de redactar este informe, no existe un código de explotación público para aprovechar los servidores Exim vulnerables, pero es probable que esto cambie en los días posteriores a la publicación del blog de Chang.

Chang también descubrió otros dos errores en Exim el año pasado, lo que también condujo a la ejecución remota de código. Esos errores fueron solucionados en Exim 4.90.