Las investigaciones de Qualys han revelado un total de 21 vulnerabilidades, una de las cuales afecta a todas las versiones de Exim desde el año 2004
El equipo de investigadores de Qualys, Inc. (NASDAQ: QLYS) ha descubierto un amplio número de vulnerabilidades en el servidor de correo Exim, algunas de las cuales pueden encadenarse para realizar la ejecución remota de código sin autentificación, obteniendo privilegios de root o administrador. Qualys recomienda a los equipos de seguridad que apliquen lo antes posible los parches para estas vulnerabilidades, que ya han sido bautizadas con la denominación de “21Nails”.
Exim es un popular agente de transferencia de correo (MTA) disponible para los principales sistemas operativos tipo Unix y que se encuentra preinstalado en distribuciones de Linux como Debian. Según una encuesta reciente, se estima que está en funcionamiento aproximadamente en el 60% de los servidores de correo de Internet. Una búsqueda en Shodan revela más de 4 millones de servidores Exim conectados a Internet.
«Los servidores de correo de Exim se utilizan ampliamente y manejan un volumen tan grande de tráfico en Internet que a menudo son un objetivo clave para los crackers. Las 21 vulnerabilidades que hemos encontrado son críticas, ya que los atacantes pueden explotarlas de forma remota para obtener privilegios completos en el servidor de destino estando capacitados para ejecutar comandos e instalar programas, modificar datos, crear nuevas cuentas o cambiar configuraciones sensibles en los servidores de correo. Es imperativo por tanto que los usuarios apliquen parches inmediatamente”, ha destacado Bharat Jogi, director sénior del equipo de Investigación de Amenazas y Vulnerabilidades de Qualys.
El equipo de investigación de Qualys, realizó a finales de 2020 la auditoría exhaustiva del código de Exim descubriendo las 21 vulnerabilidades específicas con las siguientes características: Diez de estas vulnerabilidades podrían ser explotadas de forma remota para llegar a obtener privilegios de administrador sobre el sistema y las once restantes se podrían explotar localmente, la mayoría de estas últimas en la misma configuración predeterminada o en una configuración muy común. Una de las vulnerabilidades localizadas por el equipo de investigación de Qualys (concretamente la denominada CVE-2020-28017) afecta a todas las versiones de Exim desde el año 2004 (es decir, desde el comienzo de su historia en Git hace 17 años).
Algunas de las vulnerabilidades descubiertas se pueden encadenar para obtener una ejecución remota completa de código no autenticado y obtener privilegios de root en el servidor Exim (pudiendo instalar programas, modificar datos, crear nuevas cuentas, etc). Los investigadores de seguridad de Qualys verificaron de forma independiente todas estas vulnerabilidades y desarrollaron exploits para obtener privilegios de root completos.
