Nueva vulnerabilidad de Exim podría llevar a un ataque DoS o incluso a ejecución de código remoto

Una nueva vulnerabilidad afecta a Exim, el famoso agente de transporte de correos, utilizado por al menos el 57% de los servidores de correos del mundo.

Esta vulnerabilidad descubierta por investigadores de QAX-A-Team explotando el error asignado al CVE-2019-16928 podría llevar a un ataque de denegación de servicios o alguna ejecución de código remoto.

Esta vulnerabilidad es el resultado de un error de desbordamiento basado en string_vformat (string.c). Según el aviso de Exim , la vulnerabilidad puede ser explotada por un atacante a través de una “cadena de caracteres extraordinariamente larga HELO (EHLO)” destinada a bloquear el proceso responsable de recibir el mensaje. Jeremy Harris de Exim, calificó la vulnerabilidad como un “error de codificación simple” que resultó de no hacer crecer una cadena lo suficiente, publicó una prueba de concepto que muestra un ejemplo de cómo podría explotarse.

Exim advierte que podría haber otras formas de explotar esta vulnerabilidad, en un post de Exim´s bug tracker revela la posibilidad de un ataque de ejecución de código remota (RCE).

Un par de otras vulnerabilidades de Exim han sido titulares en los últimos meses. En junio, se descubrió que los actores de amenazas apuntaban a servidores que usaban Exim a través del troyano Watchbog, mientras que a mediados de septiembre se descubrió otro error (CVE-2019-15846) que también podría conducir a ataques RCE.

El CVE-2019-16928 aparece junto ala version 4.92 de Exim, afectando también a las versiones 4.92, 4.92.1 y 4.92.2, las versiones anteriores a la 4.92 no son vulnerables, por lo que Exim recomienda a todos sus usuarios actualizar a la última version 4.92.3 la cual incluye remediación de la vulnerabilidad CVE-2019-16928.

Referencias:

https://blog.rapid7.com/2019/10/01/exim-vulnerability-cve-2019-16928-global-exposure-details-and-remediation-advice/

https://www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/exim-vulnerability-cve-2019-16928-could-lead-to-denial-of-service-and-remote-code-execution-attacks

https://www.tenable.com/blog/cve-2019-16928-critical-buffer-overflow-flaw-in-exim-is-remotely-exploitable

https://www.cvedetails.com/cve/CVE-2019-16928/

https://www.andreafortuna.org/2019/10/01/cve-2019-16928-a-new-vulnerability-on-exim-exposes-millions-of-email-servers-to-remote-attacks/https://unaaldia.hispasec.com/2019/10/grave-vulnerabilidad-en-el-servidor-de-correo-exim.html