Découverte en mai 2019 par l’entreprise de sécurité Qualys, la faille (CVE-2019-10149) concerne les versions Exim 4.87 à 4.91 intégrées à plusieurs distributions Linux, la dernière version ayant été publiée le 15 avril 2018. La nouvelle version, la version 4.92, a corrigé le problème le 10 février 2019 bien que cela n’ait pas été réalisé par les responsables du logiciel de l’époque.
Les points faibles : toute personne utilisant encore, en ce début d’année, une version datant d’avril 2016 sera vulnérable. Les versions antérieures à cette version pourraient également devenir vulnérables si EXPERIMENTAL_EVENT est activé manuellement, selon Qualys.
Le problème est décrit comme un RCE, qui dans ce cas signifie Exécution de Commande à Distance (Remote Command Execution), à ne pas confondre avec l’exécution de code à distance (Remote Code Execution) plus souvent citée.
Comme le terme l’indique, cela signifie qu’un attaquant peut exécuter à distance des commandes arbitraires au niveau d’un système cible sans avoir à uploader de logiciels malveillants.
L’attaque est facile depuis un autre système sur le même réseau local. Pour réussir la même opération à partir d’un système extérieur au réseau, un attaquant devra …
Conserver une connexion au serveur vulnérable ouverte pendant 7 jours (en transmettant un octet toutes les quelques minutes). Cependant, en raison de l’extrême complexité du code Exim, nous ne pouvons garantir que cette méthode d’exploitation soit unique : en effet, des méthodes plus rapides peuvent exister.
L’exploitation à distance est également possible lorsqu’Exim utilise l’une des configurations autres que celles par défaut décrites dans l’avis émis par Qualys.
Quoi faire ?
La première étape consiste à vérifier les évaluations d’impact émises par les distributions individuelles, telles que Debian (utilisée par Qualys pour développer la preuve de concept), OpenSUSE et Red Hat. Les utilisateurs de Sophos XG Firewall, qui inclut Exim, doivent lire l’article Knowledge Base 134199.
Comme Qualys le fait remarquer, les exploits de cette faille suivront probablement dans quelques jours. Dans ce scénario, les pirates rechercheront des serveurs vulnérables, les piratant éventuellement. De toute évidence, il s’agit d’une faille que les administrateurs voudront corriger dès que possible.
Malheureusement, si la lente correction d’une autre faille sérieuse révélée en février (CVE-2018-6789) laisse à désirer, un déploiement rapide ici est peu probable. Rappelons qu’il s’agissait d’une vulnérabilité découverte rétrospectivement, et qui affectait toutes les versions Exim à partir de 1995.
En juin, la part de marché d’Exim représentait 57% des serveurs de messagerie interrogés, ce qui en fait la plateforme numéro une sur Internet avec plus d’un demi-million de serveurs. Pour les cybercriminels, cela représente beaucoup de serveurs au niveau desquels rechercher des cibles potentielles.
Billet inspiré de Action required! Exim mail servers need urgent patching, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.