ผู้พัฒนา Exim ได้เผยแพร่แพตช์แก้ไขช่องโหว่ Zero-day ที่ถูกเปิดเผยเมื่อสัปดาห์ที่ผ่านมาจาก Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งหนึ่งในนั้นสามารถทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ด้านความปลอดภัย (CVE-2023-42115) ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ไม่ถูกระบุชื่อ โดยเป็นช่องโหว่ Out-of-bounds ที่พบใน SMTP service และสามารถถูกโจมตีโดยผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อสั่งรันโค้ดด้วยสิทธิ์ของ service account ได้

ZDI อธิบายเพิ่มเติมว่า "ช่องโหว่ภายใน SMTP service ซึ่งจะใช้พอร์ต TCP 25 โดยค่าเริ่มต้น เป็นผลมาจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ระบุ ซึ่งอาจส่งผลให้มีการ write past the end of a buffer"

ปัจจุบันทีมงาน Exim ยังได้ออกแพตซ์แก้ไขช่องโหว่ RCE (CVE-2023-42114) และช่องโหว่ information disclosure (CVE-2023-42116)

(more…)

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

Exim ได้ออกแพตช์รักษาความปลอดภัยเร่งด่วนเป็น Exim รุ่น 4.92.3 เป็นการแก้ไขเกี่ยวกับการรัน Code ที่เป็นอันตรายบน Exim

Exim เป็น mail Server เพื่อรับส่งข้อมูลทาง Email สำหรับระบบปฏิบัติการ Linux, Mac OSX หรือ Solaris ซึ่งเมื่อสองวันที่ผ่านมามีการประกาศช่องโหว่ CVE-2019-16928 ซึ่งถูกค้นพบโดย Jeremy Harris เป็นทีมพัฒนาของทาง Exim โดยช่องโหว่ที่พบสามารถทำให้ผู้โจมตีรันคำสั่งจากระยะไกลและทำการโจมตีด้วยรูปแบบ DoS หรือรัน Code (EHLO) บน Exim mail Server ด้วยสิทธิ์ของผู้ใช้

ดังนั้นควรให้ผู้ดูแล Server ทำการติดตั้ง Exim Version 4.92.3 หรืออัปเดตให้เป็น Exim Version 4.92.3 โดยเร็วที่สุดเนื่องจากผลกระทบจากช่องโหว่นี้ไม่มีวิธีการแก้ปัญหาเบื้องต้น

ที่มา thehackernews

เซิร์ฟเวอร์ Exim หลายล้านมีความเสี่ยงด้านความปลอดภัยที่เมื่อถูกโจมตีจะยอมให้ผู้โจมตีสามารถรันโค้ด malicious ด้วยสิทธิ์ root

เซิร์ฟเวอร์ Exim ทั้งหมดที่ทำงานบนเวอร์ชัน 4.92.1 และก่อนหน้ามีช่องโหว่ ทีม Exim กล่าวถึงคำแนะนำให้อัพเดทเป็น 4.92.2 เพื่อแก้ไขปัญหานี้

ปัญหานี้อาจดูเหมือนไม่สำคัญมากนัก แต่ Exim เป็นหนึ่งในซอฟต์แวร์ที่นิยมใช้เป็นตัวถ่ายโอนอีเมล (Mail transfer agent : MTA) ที่ทำงานอยู่เบื้องหลังของอีเมลเซิฟเวอร์ ขณะที่อีเมลเซิฟเวอร์มักจะส่งหรือรับข้อความตอบกลับ
ศุกร์ที่ผ่านมา ทีม Exim เตือนถึงช่องโหว่ที่สำคัญ ถ้า Exim เซิฟเวอร์ถูกตั้งคอนฟิกในการยอมรับการเชื่อมต่อ TLS ขาเข้า ผู้โจมตีสามารถส่ง malicious backslash-null sequence แนบมาตอนท้ายของ SNI packet และรันโค้ด malicious ด้วยสิทธิ์ root
เจ้าของเซิฟเวอร์สามารถลดช่องโหว่นี้ได้ จากการติดตาม CVE-2019-15846 โดยการปิดใช้งานสนับสนุน TLS สำหรับเซิฟเวอร์ Exim อย่างไรก็ตามนี่เป็นเพียงตัวเลือก การทำแบบนี้จะทำให้เกิดการส่งอีเมลในเคลียร์เท็กซ์ และทำให้เสี่ยงต่อการโจมตีสนิฟฟิงได้
การกระทำนี้ไม่ถูกแนะนำสำหรับเจ้าของ Exim ใน EU เนื่องจากอาจทำให้ข้อมูลรั่วไหลและมีผลทำให้กฎหมาย GDPR ตามมา
ถ้าคุณไม่ทราบสถานะการทำงาน TLS บนเซิฟเวอร์ Exim สิ่งที่ดีที่สุดคืออัปเดทแพทช์จะสามารถป้องกันช่องโหว่นี้ได้

ช่องโหว่ใหญ่อีกตัวได้ถูกแก้ไข ตาม CVE-2019-10149 เป็นที่รู้จักกันในชื่อ Return of the WIZard ที่จะเพิ่มสิทธิ์ให้ผู้โจมตีสามารถรัน malicious ด้วยสิทธิ์ root และรีโมตเซิฟเวอร์ Exim
ช่องโหว่ Return of the WIZard มีการถูกใช้อย่างมากในหนึ่งสัปดาห์ที่ผ่านมาหลังจากถูกเผยแพร่สู่สาธารณะและมีบางคนสร้าง Azure worm สามวันหลังจากนั้น ทำให้ Microsoft ได้ออกมาเตือนเกี่ยวกับปัญหานี้

ที่มา : zdnet

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister