พบช่องโหว่ Bypasses Security ใน Exim Mail Servers กว่า 1.5 ล้านรายการ

ช่องโหว่ Security Bypass ใน Exim Mail Servers ส่งผลกระทบกับระบบกว่า 1.5 ล้านรายการ

Censys แจ้งเตือนการพบ Exim mail transfer agent (MTA) instances กว่า 1.5 ล้านรายการที่มีช่องโหว่ ซึ่งทำให้ Hacker สามารถ bypass security filter ได้

(more…)

Exim ออกแพตช์แก้ไขช่องโหว่ Zero-day 3 รายการ จาก 6 ช่องโหว่ที่ถูกเปิดเผยเมื่อสัปดาห์ที่แล้ว

ผู้พัฒนา Exim ได้เผยแพร่แพตช์แก้ไขช่องโหว่ Zero-day ที่ถูกเปิดเผยเมื่อสัปดาห์ที่ผ่านมาจาก Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งหนึ่งในนั้นสามารถทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ด้านความปลอดภัย (CVE-2023-42115) ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ไม่ถูกระบุชื่อ โดยเป็นช่องโหว่ Out-of-bounds ที่พบใน SMTP service และสามารถถูกโจมตีโดยผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อสั่งรันโค้ดด้วยสิทธิ์ของ service account ได้

ZDI อธิบายเพิ่มเติมว่า "ช่องโหว่ภายใน SMTP service ซึ่งจะใช้พอร์ต TCP 25 โดยค่าเริ่มต้น เป็นผลมาจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ระบุ ซึ่งอาจส่งผลให้มีการ write past the end of a buffer"

ปัจจุบันทีมงาน Exim ยังได้ออกแพตซ์แก้ไขช่องโหว่ RCE (CVE-2023-42114) และช่องโหว่ information disclosure (CVE-2023-42116)

(more…)

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

Exim ได้ออกแพตช์แก้ช่องโหว่ RCE

Exim ได้ออกแพตช์รักษาความปลอดภัยเร่งด่วนเป็น Exim รุ่น 4.92.3 เป็นการแก้ไขเกี่ยวกับการรัน Code ที่เป็นอันตรายบน Exim

Exim เป็น mail Server เพื่อรับส่งข้อมูลทาง Email สำหรับระบบปฏิบัติการ Linux, Mac OSX หรือ Solaris ซึ่งเมื่อสองวันที่ผ่านมามีการประกาศช่องโหว่ CVE-2019-16928 ซึ่งถูกค้นพบโดย Jeremy Harris เป็นทีมพัฒนาของทาง Exim โดยช่องโหว่ที่พบสามารถทำให้ผู้โจมตีรันคำสั่งจากระยะไกลและทำการโจมตีด้วยรูปแบบ DoS หรือรัน Code (EHLO) บน Exim mail Server ด้วยสิทธิ์ของผู้ใช้

ดังนั้นควรให้ผู้ดูแล Server ทำการติดตั้ง Exim Version 4.92.3 หรืออัปเดตให้เป็น Exim Version 4.92.3 โดยเร็วที่สุดเนื่องจากผลกระทบจากช่องโหว่นี้ไม่มีวิธีการแก้ปัญหาเบื้องต้น

ที่มา thehackernews

Millions of Exim servers vulnerable to root-granting exploit

เซิร์ฟเวอร์ Exim หลายล้านมีความเสี่ยงด้านความปลอดภัยที่เมื่อถูกโจมตีจะยอมให้ผู้โจมตีสามารถรันโค้ด malicious ด้วยสิทธิ์ root

เซิร์ฟเวอร์ Exim ทั้งหมดที่ทำงานบนเวอร์ชัน 4.92.1 และก่อนหน้ามีช่องโหว่ ทีม Exim กล่าวถึงคำแนะนำให้อัพเดทเป็น 4.92.2 เพื่อแก้ไขปัญหานี้

ปัญหานี้อาจดูเหมือนไม่สำคัญมากนัก แต่ Exim เป็นหนึ่งในซอฟต์แวร์ที่นิยมใช้เป็นตัวถ่ายโอนอีเมล (Mail transfer agent : MTA) ที่ทำงานอยู่เบื้องหลังของอีเมลเซิฟเวอร์ ขณะที่อีเมลเซิฟเวอร์มักจะส่งหรือรับข้อความตอบกลับ
ศุกร์ที่ผ่านมา ทีม Exim เตือนถึงช่องโหว่ที่สำคัญ ถ้า Exim เซิฟเวอร์ถูกตั้งคอนฟิกในการยอมรับการเชื่อมต่อ TLS ขาเข้า ผู้โจมตีสามารถส่ง malicious backslash-null sequence แนบมาตอนท้ายของ SNI packet และรันโค้ด malicious ด้วยสิทธิ์ root
เจ้าของเซิฟเวอร์สามารถลดช่องโหว่นี้ได้ จากการติดตาม CVE-2019-15846 โดยการปิดใช้งานสนับสนุน TLS สำหรับเซิฟเวอร์ Exim อย่างไรก็ตามนี่เป็นเพียงตัวเลือก การทำแบบนี้จะทำให้เกิดการส่งอีเมลในเคลียร์เท็กซ์ และทำให้เสี่ยงต่อการโจมตีสนิฟฟิงได้
การกระทำนี้ไม่ถูกแนะนำสำหรับเจ้าของ Exim ใน EU เนื่องจากอาจทำให้ข้อมูลรั่วไหลและมีผลทำให้กฎหมาย GDPR ตามมา
ถ้าคุณไม่ทราบสถานะการทำงาน TLS บนเซิฟเวอร์ Exim สิ่งที่ดีที่สุดคืออัปเดทแพทช์จะสามารถป้องกันช่องโหว่นี้ได้

ช่องโหว่ใหญ่อีกตัวได้ถูกแก้ไข ตาม CVE-2019-10149 เป็นที่รู้จักกันในชื่อ Return of the WIZard ที่จะเพิ่มสิทธิ์ให้ผู้โจมตีสามารถรัน malicious ด้วยสิทธิ์ root และรีโมตเซิฟเวอร์ Exim
ช่องโหว่ Return of the WIZard มีการถูกใช้อย่างมากในหนึ่งสัปดาห์ที่ผ่านมาหลังจากถูกเผยแพร่สู่สาธารณะและมีบางคนสร้าง Azure worm สามวันหลังจากนั้น ทำให้ Microsoft ได้ออกมาเตือนเกี่ยวกับปัญหานี้

ที่มา : zdnet

New RCE vulnerability impacts nearly half of the internet’s email servers

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

CVE-2018-6789 – Oops! Another RCE vulnerability on EXIM!

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

Exim-ergency! Unix mailer has RCE, DoS vulnerabilities

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister