Alrededor de medio millón de servidores de correo que disponen del popular Exim Mail Transfer Agent (MTA), deben aplicar un parche de seguridad que soluciona una potencialmente peligrosa vulnerabilidad que se hizo pública a comienzos de semana.
A principios de febrero, su descubridor Meh Chang de Devcore Security Consulting, comunicó a los encargados de Exim la existencia un problema en su software de un-byte buffer overflow en la manera que su software decodifica Base64.
Según Chang:
La decodificación Base64 es una función fundamental por lo que este bug puede ser explotado fácilmente, permitiendo la ejecución de código remoto.
El exploit que creó como prueba de concepto explotaba la vulnerabilidad a través del proceso de autentificación SMTP daemon, antes de que los correos fueran enviados o recibidos.
Normalmente, este bug no es dañino ya que la memoria que se sobrescribe normalmente no se usa. Sin embargo, este byte sobrescribe datos críticos cuando la cadena tiene un tamaño determinado.
Lo que hizo que los desarrolladores de Exim contestaran:
Actualmente no estamos seguros sobre su peligrosidad, “creemos” que un exploit es complicado. No hay ninguna solución disponible.
Con lo que querían decir es que para defenderse se debería utilizar un parche en vez de un cambio en la configuración. El problema es que este fallo afecta a todas las versiones de Exim, desde que surgiera en 1995 como un proyecto de la Universidad de Cambridge para crear una sofisticada alternativa al más antiguo Sendmail.
¿Es complicado de explotar? Seguro, el diseño de la prueba de concepto requiere de una sofisticada manipulación de una secuencia de memoria, pero ahora es de dominio público.
El tiempo pasa para los servidores sin parchear y probablemente es mejor no esperar hasta que alguien descubra como ejecutar código remoto en tu servidor.
Devcore cifra el número de sistemas vulnerables en al menos 400.000 servidores.
Una encuesta actualizada cuantifica el número de servidores públicos de correo sobre 1,9 millones, de los que la mitad muestran que software ejecutan. De estos, 560.000 (o un 57%) tienen Exim, colocándolo muy por delante de Postfix y del que está en franco declive Sendmail. Algunos de estos servidores ya han sido actualizados.
Shodan, el buscador para sistemas conectados a Internet, dice que hay unos pocos millones de servidores con Exim.
Exim es el tipo de software fácil de olvidar, incluso pese a un rápido repaso sobre el número de fallos que se encontraron durante el último año. Dado su popularidad, aplicar el parche debe ser considerado un punto de máxima prioridad.
No se han detectado exploits que se aprovechen de esta vulnerabilidad, pero eso no significa que surjan rápidamente.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: