Exim là một trong những máy chủ email được cài đặt trên hệ điều hành mã nguồn mở sử dụng rộng rãi nhất hiện nay. Một số lỗ hổng nghiêm trọng nhất được phát hiện trong Exim trong thời gian gần đây bao gồm:
CVE-2023-42114 (ZDI-23-1468): Lỗ hổng này cho phép tin tặc đọc thông tin không được phép từ vùng nhớ (out-of-bounds read) và tiết lộ dữ liệu nhạy cảm. Với số điểm đánh giá mức độ nghiêm trọng CVSS là 3,7 thì lỗ hổng này dù ở mức độ nhẹ hơn nhưng cũng không thể bỏ qua một cách dễ dàng. Cụ thể, lỗ hổng này liên quan đến việc xử lý gói tin NTLM (NT LAN Manager), một giao thức chứng thực được sử dụng trong môi trường Windows. Khi Exim xử lý yêu cầu NTLM, có lỗi xảy ra trong quá trình đọc gói tin, dẫn đến việc đọc ngoài phạm vi vùng nhớ đã cấp phát và tiết lộ dữ liệu quan trọng từ bộ nhớ. Tin tặc có thể tận dụng lỗ hổng này để đọc dữ liệu nhạy cảm từ bộ nhớ và sử dụng nó cho mục đích xấu, chẳng hạn như xác định thông tin đăng nhập hoặc quyền truy cập.
CVE-2023-42115 (ZDI-23-1469): Lỗ hổng thực thi mã từ xa thông qua lỗi ghi ngoài giới hạn. Được biết đến với điểm CVSS ở mức nghiêm trọng là 9,8 thì lỗ hổng này cho phép những kẻ tấn công từ xa có thể nhúng mã tùy ý trong dịch vụ SMTP. Lỗ hổng này cho phép tin tặc thực hiện việc ghi (write) ngoài phạm vi vùng nhớ (out-of-bounds write) thông qua quá trình xác thực (authentication) AUTH - phương thức xác thực trong Exim cho phép người dùng chứng thực trước khi gửi hoặc nhận thư điện tử. Tin tặc có thể tận dụng điều này để thực hiện việc ghi (write) dữ liệu xấu vào bộ nhớ và thực thi mã từ xa, tiềm ẩn nguy cơ tiến hành các hành động xâm nhập hoặc kiểm soát hệ thống.
CVE-2023-42116 (ZDI-23-1470): Lỗ hổng thực thi mã từ xa thông qua lỗi tràn bộ đệm. Một lỗ hổng đáng báo động khác, CVE-2023-42116, đã mở ra con đường cho tin tặc đưa mã tùy ý vào Exim. Lỗ hổng này nằm trong quá trình xử lý các yêu cầu của khâu xác thực NTLM (NT LAN Manager), xuất hiện do việc xác thực độ dài dữ liệu đầu vào của người dùng không đầy đủ, dẫn đến các tình huống tràn bộ đệm có thể xảy ra.
CVE-2023-42117 (ZDI-23-1471): Lỗ hổng thực thi mã từ xa trong dịch vụ SMTP. Đây là một lỗ hổng nghiêm trọng với điểm CVSS là 8,1. Các quy trình xác thực không đầy đủ có thể làm phát sinh các tình huống hỏng bộ nhớ, tạo điều kiện cho những kẻ tấn công thực thi mã từ xa và gây nguy hiểm cho các tiến trình.
CVE-2023-42118 (ZDI-23-1472): Lỗ hổng thực thi mã từ xa qua thư viện libspf2. Lỗ hổng CVE-2023-42118, đạt điểm CVSS là 7,5 tạo cơ hội cho kẻ tấn công thực thi mã tùy ý vào bộ thư viện libspf2 của Exim. Lỗ hổng cụ thể này xuất hiện trong quá trình phân tích cú pháp (parsing) các macros SPF (Sender Policy Framework). SPF là một giao thức được sử dụng để xác định xem một máy chủ thư điện tử được phép gửi thư điện tử từ một miền nhất định hay không. Trong trường hợp này, quá trình phân tích cú pháp SPF không xác thực đúng cách dữ liệu do người dùng cung cấp, điều này có thể dẫn đến việc giảm giá trị một số nguyên dưới mức hợp lệ trước khi ghi vào bộ nhớ (integer underflow), gây ra lỗi trong quá trình thực thi chương trình.
CVE-2023-42119 (ZDI-23-1473): Lỗ hổng đọc ngoài giới hạn, cho phép kẻ tấn công lấy được dữ liệu nhạy cảm. Với điểm CVSS là 3,1 thì lỗ hổng này nhìn có vẻ vô hại nhưng nó cho phép những kẻ tấn công có khả năng lấy được thông tin nhạy cảm về quá trình cài đặt Exim. Lỗ hổng nằm trong dịch vụ SMTP và lắng nghe trên cổng TCP 25, xuất phát từ việc xác thực không đầy đủ dữ liệu do người dùng cung cấp, lỗi cho phép đọc vượt quá bộ đệm được phân bổ. Những kẻ tấn công có thể thao túng lỗi này cùng với các lỗ hổng khác để thực thi các mã tùy ý.
Các lỗ hổng được các chuyên gia bảo mật phát hiện thông qua chương trình ZDI (Zero Day Initiative). Theo khuyến nghị nếu bạn đang sử dụng Exim, điều quan trọng là phải cập nhật lên phiên bản mới nhất càng sớm càng tốt để giảm thiểu các lỗ hổng an ninh này. Trong trường hợp không có bản vá, ZDI khuyến nghị hạn chế tương tác với ứng dụng như một chiến lược giảm thiểu nguy cơ bảo mật.
|
Tài liệu tham khảo 1. https://www.exim.org/ 2. https://thehackernews.com/2023/09/new-critical-security-flaws-expose-exim.html 3. https://thehackernews.com/2021/05/alert-new-21nails-exim-bugs-expose.html 4. https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 5. https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 6. https://www.zerodayinitiative.com/advisories/ZDI-23-1473/ |
Trương Đình Dũng
07:00 | 18/09/2023
08:00 | 26/09/2023
10:00 | 15/09/2023
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024
