Si
elle est exploitée, la faille de sécurité dans Exim pourrait permettre aux
attaquants d'exécuter des commandes arbitraires sur des serveurs de messagerie
vulnérables.
Exim, le logiciel populaire d’agent de transfert de
courrier (MTA), contient une vulnérabilité critique qui pourrait permettre aux
attaquants d’exécuter des commandes de leur choix à distance sur des serveurs
de courrier non patchés, ont découvert les chercheurs de
Qualys.
Classifié comme CVE-2019-10149,
cette faille d’exécution de la commande à distance affecte les installations
Exim 4.87 à 4.91. Le bogue a été corrigé avec la dernière version (4.92) du
logiciel open-source, bien que, de l’avis général, sans le savoir. Selon Qualys,
le problème « n’a pas été identifié comme une faille de sécurité »,
lors de la publication de la dernière version en février.
Le logiciel, qui est responsable du transfert des
messages d’un ordinateur à l’autre, est installé sur un grand nombre de serveurs de messagerie accessibles en
ligne. Plus de 95 % d’entre eux semblent utiliser
l’une des versions les plus anciennes - et les plus vulnérables - d’Exim.
Selon Qualys, le bogue pourrait permettre aux
attaquants d’exécuter des commandes sur un serveur Exim vulnérable en tant
qu’utilisateur root et de parvenir à en prendre le contrôle.
La vulnérabilité est « trivialement
exploitable » par un attaquant local, même avec un compte peu privilégié.
Mais ce qui est peut-être plus inquiétant encore, c’est que l’exploitation à
distance est également possible, que ce soit dans la configuration par défaut
ou non d’Exim. Le côté positif est que cette vulnérabilité serait plus
difficile à utiliser pour les attaquants éloignés.
« Cette vulnérabilité peut être exploitée
instantanément par un attaquant local (et par un attaquant distant dans
certaines configurations hors défaut). Pour exploiter à distance cette
vulnérabilité dans la configuration par défaut, un attaquant doit garder une
connexion au serveur vulnérable ouverte pendant 7 jours (en transmettant un
octet toutes les quelques minutes). Cependant, en raison de l’extrême
complexité du code d’Exim, nous ne pouvons garantir que cette méthode
d’exploitation est la seule; des méthodes plus rapides peuvent exister. »
Pour plus de détails sur la façon dont le trou dans
Exim pourrait être exploité sont disponibles dans l’avis susmentionné.
Pendant ce temps, les responsables de la maintenance
d’Exim affirment qu’il n’y
a aucune preuve que la faille est activement exploitée et soulignent que le
correctif « existe déjà, est testé, et rétroporté vers toutes les versions
que nous avons publiées depuis (et incluant) 4.87 ».
Par ailleurs, les dangers auxquels sont confrontés
les serveurs de messagerie ont été documentés dans une recherche récente d’ESET qui
a disséqué le premier malware spécifiquement conçu pour cibler les serveurs de
messagerie Microsoft Exchange.