Theo các nhà phát triển của Exim, lỗ hổng này có định danh CVE-2019-15846, ảnh hưởng đến Exim phiên bản 4.92.1 và các phiên bản phát hành trước đó. Hiện tại, Exim đã phát hành phiên bản 4.92.2 để khắc phục lỗ hổng này.
Đây là lỗ hổng tràn bộ đệm heap, ảnh hưởng đến các máy chủ Exim cho phép các kết nối TLS. Các nhà phát triển nhấn mạnh rằng, việc khai thác không phụ thuộc vào thư viện TLS được sử dụng, nên cả GnuTLS và OpenSSL đều bị ảnh hưởng. Lỗ hổng có thể bị khai thác bằng cách gửi một kết thúc SNI trong dãy gạch chéo-null trong tiến trình bắt tay TLS ban đầu.
Mặc dù chưa có bằng chứng về việc khai thác lỗ hổng trong thực tế, nhưng các nhà nghiên cứu của công ty an toàn mạng Qualys (Mỹ) đã phân tích lỗ hổng và xây dựng một chứng minh khái niệm (PoC) cơ bản để chứng minh việc tràn bộ đệm heap là có thể khai thác được. Lỗ hổng này đã được báo cáo với nhà phát triển Exim vào ngày 21/7 bởi một nhà nghiên cứu có biệt danh trực tuyến là “Zerons”.
Lỗ hổng CVE-2019-15846 có thể ngăn chặn bằng cách cấu hình máy chủ không cho phép kết nối TLS, nhưng cách này không được các chuyên gia khuyến nghị. Một cách khác là thêm các quy tắc cụ thể vào danh sách kiểm soát truy cập (access control list).
Tuy nhiên, chuyên gia bảo mật máy tính Craig Young thuộc đội ngũ nghiên cứu lỗ hổng của công ty an toàn mạng Tripwire (Mỹ) nhận định rằng, lỗ hổng tràn bộ đệm trong Exim không trực tiếp cho phép tin tặc thực thi lệnh với đặc quyền root, thay vào đó là ghi đè bộ nhớ mà từ đó có thể thực thi mã. Điều này khác với việc cho phép thực thi mã từ xa bởi để thực hiện điều này, tin tặc phải vượt qua những cản trở trong tiến trình thực thi của chương trình, cũng như các biện pháp giảm thiểu khai thác của hệ điều hành.
Exim là một trong những máy chủ email được sử dụng rộng rãi nhất hiện nay. Theo thống kê của công cụ tìm kiếm Shodan, có khoảng 5 triệu máy đang được sử dụng, chiếm đa phần số máy chủ email tại Mỹ. Điều này khiến Exim trở thành mục tiêu hấp dẫn của tin tặc.
Trước đó vào tháng 6/2019, các chuyên gia cũng đã cảnh bảo về lỗ hổng có định danh CVE-2019-10149 trong Exim (đã có bản vá) bị khai thác để phán tán mã độc đào tiền ảo.
M.C
05:00 | 18/03/2019
09:00 | 25/09/2019
10:00 | 08/10/2019
09:00 | 10/03/2019
13:00 | 19/02/2019
10:00 | 07/05/2024
Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
10:00 | 17/05/2024