Desde AndalucíaCERT les informamos que los desarrolladores del servidor de correo Exim van a liberar parches de seguridad para corregir un total de seis vulnerabilidades críticas de tipo zero-day:

• CVE-2023-42114 (Exim NTLM Challenge Out-Of-Bounds Read Information Disclosure Vulnerability): vulnerabilidad que permite a atacantes remotos revelar información sensible en instalaciones de Exim afectadas, sin requerir autenticación. Esta debilidad radica en la manipulación de solicitudes de desafío NTLM, debido a la falta de validación adecuada de datos proporcionados por el usuario, lo que posibilita una lectura más alládel final de una estructura de datos asignada, permitiendo así que un atacante revele información en el contexto de la cuenta de servicio.
• CVE-2023-42115 (Exim AUTH Out-Of-Bounds Write Remote Code Execution Vulnerability): vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Exim, sin necesidad de autenticación. Esta debilidad se encuentra en el servicio SMTP, que escucha en el puerto TCP 25 de forma predeterminada. El problema se origina debido a la falta de validación adecuada de datos proporcionados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar cídigo en el contexto de la cuenta de servicio.
• CVE-2023-42116 (Exim SMTP Challenge Stack-based Buffer Overflow Remote Code Execution Vulnerability): vulnerabilidad que permite a atacantes remotos ejecutar cídigo arbitrario en instalaciones afectadas de Exim, sin necesidad de autenticaciín. Esta debilidad reside en el manejo de las solicitudes de desafío NTLM y se debe a la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer de longitud fija basado en la pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio.
• CVE-2023-42117 (Exim Improper Neutralization of Special Elements Remote Code Execution Vulnerability): vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Exim, sin necesidad de autenticación. Esta debilidad se encuentra en el servicio SMTP, que escucha en el puerto TCP 25 de forma predeterminada. El problema se origina debido a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en una condición de corrupción de memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
• CVE-2023-42118 (Exim libspf2 Integer Underflow Remote Code Execution Vulnerability): vulnerabilidad que permite a atacantes en la red cercana ejecutar código arbitrario en instalaciones afectadas de Exim libspf2, sin necesidad de autenticación. Esta debilidad se encuentra en el análisis de macros SPF. Cuando se analizan estos macros, el proceso no valida adecuadamente los datos proporcionados por el usuario, lo que puede resultar en un desbordamiento de entero antes de escribir en la memoria. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio.
• CVE-2023-42119 (Exim dnsdb Out-Of-Bounds Read Information Disclosure Vulnerability): vulnerabilidad que permite a atacantes en la red cercana revelar información sensible en instalaciones afectadas de Exim, sin necesidad de autenticación. Esta debilidad se encuentra en el servicio SMTP, que escucha en el puerto TCP 25 de forma predeterminada. El problema se origina debido a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede dar lugar a una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto en conjunto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la cuenta de servicio.

Debemos indicarles que estas vulnerabilidades están siendo activamente explotadas por los cibercriminales.

Productos afectados:

• Todas las versiones de Exim previas a la 4.96.1

Debido al riesgo potencial que presentan estas vulnerabilidades, desde AndalucíaCERT se recomienda:

• Actualizar los sistemas siguiendo las indicaciones que proporciona el fabricante.

NOTA: La publicación de los parches está prevista para el día de hoy, 2 de octubre de 2023.

Pueden encontrar más información en los siguientes enlaces:

• Lista de exploits contra Exim: https://www.exim.org/static/doc/security/CVE-2023-zdi.txt
• Información sobre CVE-2023-42114: https://www.zerodayinitiative.com/advisories/ZDI-23-1468/
• Información sobre CVE-2023-42115: https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
• Información sobre CVE-2023-42116: https://www.zerodayinitiative.com/advisories/ZDI-23-1470/
• Información sobre CVE-2023-42117: https://www.zerodayinitiative.com/advisories/ZDI-23-1471/
• Información sobre CVE-2023-42118: https://www.zerodayinitiative.com/advisories/ZDI-23-1472/
• Información sobre CVE-2023-42119: https://www.zerodayinitiative.com/advisories/ZDI-23-1473/

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.