En yaygın kullanılan posta aktarım aracısı (MTA) Exim’deki altı sıfır gün, geçtiğimiz Çarşamba günü Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından ortaya çıkarıldı.
Yetersiz bilgi ve zayıf iletişim nedeniyle, bugün kullanıma sunulan güvenlik sürümü Exim v4.96.1’e bunlardan yalnızca üçüne yönelik düzeltmeler dahil edildi.
Exim iyi bir hedef
Exim’in popülaritesi şaşırtıcı değil: Ücretsizdir, verimlidir, yüksek düzeyde yapılandırılabilirdir, düzenli olarak güncellenir ve güvenlik araştırmacıları tarafından sıklıkla güvenlik açıkları araştırılır.
Exim ayrıca Unix benzeri sistemlerin çoğunda varsayılan olarak bulunur.
Ne yazık ki Exim posta sunucuları da geçmiş saldırıların da gösterdiği gibi bilgisayar korsanları için büyük hedeflerdir.
Exim sıfır günleri hakkında
Altı güvenlik açığı, anonim kalmayı seçen bir güvenlik araştırmacısı tarafından Haziran 2022’de ZDI’ya bildirildi.
Güvenlik açıklarından dördü uzaktan kod yürütülmesine, ikisi ise bilgilerin ifşa edilmesine yol açabilir. Bunlardan yararlanmak için önceden kimlik doğrulama yapılmasına gerek yoktur.
Kusurların en kritik olanı, SMTP hizmetinde kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanan sınır dışı yazma sorunu olan CVE-2023-42115’tir.
CVE-2023-42115, CVE-2023-42116 (SMTP sınaması yığın tabanlı arabellek taşması hatası) ve CVE-2023-42114 (bir NTLM sınaması sınır dışı okuma) ile birlikte Exim v4.96.1’de düzeltildi ve en son v4.97 sürüm adayları.
Exim proje ekibi üyesi Heiko Schlittermann da altı kusurun tümü için ayrıntılar ve hafifletme adımları sağladı ve “bu sorunların hiçbirinin ulaşım güvenliğinin (TLS) açık veya kapalı olmasıyla ilgili olmadığını” doğruladı.
Sunucu sahipleri bu güvenlik güncellemesini hızlı bir şekilde uygulamalıdır. Umarım yakın zamanda diğer düzeltmeler de yapılır.
Güvenlik açığı açıklama süreci
Güvenlik tavsiyelerinde ZDI, Exim yöneticilerinin güvenlik açıklarını düzeltmek için yaptıkları konusunda tatmin edici geri bildirimde bulunmadığını iddia ediyor.
Schlittermann, Haziran 2022’de ZDI’nın onlara üzerinde çalışabilecekleri yanıtları sağlamadığını söylüyor. ZDI ile bir sonraki temas Mayıs 2023’te gerçekleşti ve görünüşe göre daha fazla bilgi paylaşılmıştı.
“Bu temastan hemen sonra 6 sorunun 3’ü için proje hata takibini oluşturduk. Bunlardan yüksek puan alan 2 tanesi düzeltildi (OOB erişimi). Küçük bir puan (bilgi sızıntısı) da düzeltildi,” diye yazdı geçen Cuma Açık Kaynak Güvenlik Posta Listesi’nde.
“Düzeltmeler korumalı bir depoda mevcuttur ve dağıtım sorumluları tarafından uygulanmaya hazırdır. Geri kalan sorunlar tartışmalıdır veya bunları düzeltmemiz gereken eksik bilgilerdir. Ayrıntılı bilgi alır almaz tüm sorunlara çözüm bulmaktan büyük mutluluk duyuyoruz.”