Lỗi nghiêm trọng trong nền tảng Exim khiến máy chủ email bị tấn công từ xa

[Tommy_Nguyen]

Các lỗ hổng bảo mật gần đây được phát hiện trong Exim có thể cho phép kẻ tấn công xâm nhập vào hệ thống Exim và giành quyền truy cập vào dữ liệu nhạy cảm, bao gồm cả email.

​

Exim là một trong các nền tảng Mail Transfer Agent (MTA) hàng đầu hiện nay. Được phát minh cho các hệ điều hành lấy cảm hứng từ Unix như Linux, Mac OSX và Solaris, Exim là huyết mạch của việc chuyển phát email trên Internet, đảm nhiệm gần 60% khối lượng công việc của một máy chủ email. Riêng tại Việt Nam, có khoảng hơn 20.000 máy chủ Mail đang sử dụng nền tảng Exim. Cụ thể, các lỗ hổng nghiêm trọng nhất được phát hiện trong Exim bao gồm:

CVE-2023-42119 (ZDI-23-1473): Lỗ hổng đọc ngoài giới hạn, cho phép kẻ tấn công lấy được dữ liệu nhạy cảm​

Với điểm CVSS là 3,1, lỗ hổng này nhìn có vẻ vô hại nhưng nó cho phép những kẻ tấn công có khả năng lấy được thông tin nhạy cảm về quá trình cài đặt Exim. Lỗ hổng nằm trong dịch vụ SMTP và lắng nghe trên cổng TCP 25, xuất phát từ việc xác thực không đầy đủ dữ liệu do người dùng cung cấp, lỗi cho phép đọc vượt quá bộ đệm được phân bổ. Những kẻ tấn công có thể thao túng lỗi này cùng với các lỗ hổng khác để thực thi các mã tùy ý.

CVE-2023-42118 (ZDI-23-1472): Lỗ hổng thực thi mã từ xa qua thư viện libspf2​

Lỗ hổng CVE-2023-42118, đạt điểm CVSS là 7,5, tạo cơ hội cho kẻ tấn công thực thi mã tùy ý vào bộ thư viện libspf2 của Exim. Mấu chốt của vấn đề nằm ở khâu phân tích cú pháp macro SPF. Quy trình xác thực đầu vào không đúng cách có thể gây ra tình trạng tràn số nguyên, sau đó mở đường cho việc thực thi mã trái phép.

CVE-2023-42117 (ZDI-23-1471): Lỗ hổng thực thi mã từ xa trong dịch vụ SMTP​

Đây là một lỗ hổng nghiêm trọng với điểm CVSS là 8,1. Các quy trình xác thực không đầy đủ có thể làm phát sinh các tình huống hỏng bộ nhớ, tạo điều kiện cho những kẻ tấn công thực thi mã từ xa và gây nguy hiểm cho các tiến trình.

CVE-2023-42116 (ZDI-23-1470): Lỗ hổng thực thi mã từ xa thông qua lỗi tràn bộ đệm​

Một lỗ hổng đáng báo động khác, CVE-2023-42116, cho phép hacker đưa mã tùy ý vào Exim. Lỗ hổng này nằm trong quá trình xử lý các yêu cầu của khâu xác thực NTLM (NT LAN Manager), xuất hiện do việc xác thực độ dài dữ liệu đầu vào của người dùng không đầy đủ, dẫn đến các tình huống tràn bộ đệm có thể xảy ra.

CVE-2023-42115 (ZDI-23-1469): Lỗ hổng thực thi mã từ xa thông qua lỗi ghi ngoài giới hạn​

Được biết đến với điểm CVSS cao chót vót là 9,8, lỗ hổng này cho phép những kẻ tấn công từ xa có thể nhúng mã tùy ý. Lỗ hổng được nhúng sâu trong dịch vụ SMTP, bắt nguồn từ việc xác thực dữ liệu người dùng dưới mức trung bình, thúc đẩy việc ghi vượt quá giới hạn bộ đệm.

CVE-2023-42114 (ZDI-23-1468): Lỗ hổng đọc ngoài giới hạn nằm trong khâu xác thực NTLM​

Với số điểm 3,7, lỗ hổng này dù ở mức độ nhẹ hơn nhưng cũng không thể bỏ qua một cách dễ dàng. Nó cho phép tin tặc tiết lộ thông tin nhạy cảm. Điểm mấu chốt của lỗ hổng này nằm ở việc xử lý các yêu cầu của khâu xác thực NTLM và khả năng đọc vượt quá cấu trúc dữ liệu được phân bổ.

Các lỗ hổng được một chuyên gia an ninh mạng ẩn danh dày công phát hiện thông qua chương trình Zero Day Initiative. Nếu bạn đang sử dụng Exim, điều quan trọng là phải cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các lỗ hổng an ninh này.

Nguồn: Security Online​