Exim mesaj aktarım aracısındaki altı güvenlik açığı, bildirildikten bir yıl sonra düzeltildi.
Exim, ilk olarak Cambridge Üniversitesi’nde internete bağlı Unix sistemlerinde kullanılmak üzere geliştirilmiş bir mesaj aktarım aracısıdır (MTA) ve GNU Genel Kamu Lisansı koşulları altında ücretsiz olarak mevcuttur.
Adı sizin için yeni olsa da Shodan araması çevrimiçi 3,5 milyon sunucuyu ortaya çıkardı. Son verilere göre tüm e-posta sunucularının yarısından fazlasını oluşturuyorlar. Bu sunucuların çoğu ABD, Rusya, Almanya ve Hollanda’dadır. Bu büyük rakamlar, en azından kısmen, Debian tabanlı Linux sistemlerinde Exim’in varsayılan MTA yazılımı olmasından kaynaklanmaktadır.
Bir yılı aşkın süredir bu sunucuların birçoğu altı adet sıfır gün güvenlik açığına karşı savunmasız durumda. İsimsiz bir araştırmacı, bu güvenlik açıklarını, araştırmacıları ödüllendirmek için aracı görevi gören ve güvenlik açıklarını sorumlu bir şekilde ifşa etmelerine yardımcı olan Sıfır Gün Girişimi (ZDI) aracılığıyla bildirdi.
Başlıktaki “nihayet” kelimesi, bu güvenlik açıklarının 14 Haziran 2022’de Exim’e bildirilmesinden kaynaklanıyor. 10 aylık sessizliğin ardından ZDI, bunlarla ilgili bir şey yapılıp yapılmadığını öğrenmek için soruşturma yaptı ve yanıt geldi. raporların yeniden gönderilmesi talebi.
Dört ay daha geçti ve ZDI, vakayı 27 Eylül 2023’te sıfır gün danışma belgesi olarak yayınlama niyetini açıklayan bir ültimatom gönderdi.
Güvenlik açıklarının açıklamasına göre bunların küçük hatalar olduğunu ve hemen ilgilenilmeye değer olmadığını düşünmek için hiçbir neden yoktu. Örneğin, “CVE-2023-42115 (CVSS puanı 10 üzerinden 9,8) olarak listelenen güvenlik açığına bakalım: Bu güvenlik açığı, uzaktaki saldırganların etkilenen Exim kurulumlarında rastgele kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulama gerekli değildir. “
Belirli bir kusur, varsayılan olarak TCP bağlantı noktası 25’i dinleyen SMTP hizmetinde bulunmaktadır. Sorun, kullanıcı tarafından sağlanan verilerin doğru şekilde doğrulanmamasından kaynaklanmaktadır ve bu da arabelleğin sonunu aşan bir yazmayla sonuçlanabilmektedir. Bir saldırgan, hizmet hesabı bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
Exim artık hataları kabul etti ve 2 Ekim 2023’te mevcut düzeltmeleri yayınlayarak bunların tümü için hafifletme önerileri sağladı.
Gecikme, her iki tarafın da diğerini yeterince açık ve proaktif olmamakla suçladığı bir iletişim eksikliği gibi görünüyor. Burada kimin hatalı olduğunu söylemek zor ancak sorun, sorumlu açıklama hedefine ulaşılamamasıdır.
Exim yöneticileri neler yapabilir?
Bazı araştırmacılar güvenlik açıklarının o kadar ciddi olmadığını söylese de kurulumunuzun güvenlik açığına sahip olup olmadığını kontrol etmek ve gerektiğinde düzeltmeler veya azaltımlar uygulamak isteyebilirsiniz.
Düzeltilen üç güvenlik açığının (CVE-2023-42114, CVE-2023-42115 ve CVE-2023-42116) tümü Güvenli Parola Kimlik Doğrulaması (SPA)/Yeni Teknoloji LAN Yöneticisi (NTLM) ve HARİCİ kimlik doğrulamayla ilgilidir. HARİCİ kimlik doğrulama, genellikle bir x509 sertifikası olan Basit Posta Aktarım Protokolü (SMTP) oturumunun dışındaki bazı özelliklere dayalı kimlik doğrulamayı etkinleştirir.
SPA/NTLM veya HARİCİ kimlik doğrulamayı kullanmazsanız etkilenmezsiniz. Eğer öyleyseniz en son sürümü (4.96.1 veya üstü) yüklemelisiniz.
CVE-2023-42117’nin çözümü, Exim’i güvenilmeyen bir proxy protokolü proxy’sinin arkasında kullanmamaktır. Proxy protokolü, istemcinin sunucuya belirli bir yerel IP’den belirli bir uzak IP’ye bağlantı kurmasını isteyen bir mesaj gönderdiği basit bir protokoldür. Bağlantı kurulduğunda, her iki yöndeki trafik proxy aracılığıyla olduğu gibi aktarılır. Kullanıcı tarafından sağlanan verileri doğru şekilde doğrulayacak birçok güvenilir seçenek arasından seçim yapabilirsiniz. Exim bunun için bir düzeltme üzerinde çalışıyor.
CVE-2023-42118’in çözümü, erişim kontrol listenizde (ACL) “spf” (Gönderen Politikası Çerçevesi) koşulunu kullanmamaktır. Belirli bir kusur, SPF makrolarının ayrıştırılmasında mevcuttur ve yalnızca ağa bitişik saldırganlar tarafından kullanılabilir.
CVE-2023-42219’un Exim tarafından düzeltilmesi pek olası değildir. Kullanıcıların, verileri DNS kayıt türlerine göre doğrulayabilen güvenilir bir Etki Alanı Adı Sistemi (DNS) çözümleyici kullanması gerektiğini düşünüyorlar. Bu güvenlik açığı, ağa bitişik saldırganların etkilenen Exim yüklemelerindeki hassas bilgileri ifşa etmesine olanak tanır.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.