La importancia de las auditorias como mecanismo para la mejora continua es indiscutible; Justamente, a raíz de una auditoría realiza al código de EXIM, por el equipo de investigación de QUALYS, se descubrieron 21 vulnerabilidades, previamente no conocidas, las que, mediante encadenamiento de algunas, pueden conducir a la ejecución remota de código sobre la versión 4.94.2 de EXIM. Exim es un popular MTA para correo electrónico ampliamente usado a nivel mundial y es el MTA empleado por Sophos SG y Sophos XG para el modulo Mail Security.

 

Los hallazgos documentados para EXIM que pueden permitir la ejecución remota de código son:

  • CVE-2020-28017: Integer overflow in receive_add_recipient()
  • CVE-2020-28020: Integer overflow in receive_msg()
  • CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
  • CVE-2020-28021: New-line injection into spool header file (remote)
  • CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
  • CVE-2020-28026: Line truncation and injection in spool_read_header()
  • CVE-2020-28019: Failure to reset function pointer after BDAT error
  • CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
  • CVE-2020-28018: Use-after-free in tls-openssl.c
  • CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()

Lo preocupante de estos hallazgos, es que pueden brindar privilegios de ROOT a un posible atacante remoto. Y hay otros diez hallazgos, obtenidos de esta auditoría, que podrían conducir a la ejecución de código de forma local. Ante esto, ciertamente es preocupante y el llamado de la comunidad es a parchar lo más rápido posible nuestras implementación de EXIM.

Sophos

Sophos no está exento, el core SMTP empleado para el fiarlo de seguridad de correo en Sophos SG y Sophos XG es provisto justamente por EXIM y está también afecto a estas vulnerabilidades publicadas. Desde Sophos, han publicado un hotfix para Sophos XG versión 18.0 y 18.5 el cual se encuentra disponible para ser aplicado, de forma automática, a contar hoy 07 de mayo de 2021. Puedes verificar desde el dashboard de Sophos XG si este hotfix ya está aplicado en tu equipo:

 

Si no está aplicado aún, verifica que tienes activa la opción para instalar hotfix de forma automática aquí, lo cual es altamente recomendado.

Para versiones distintas de Sophos XG, el hotfix estará disponible a contar del 14 de mayo de 2021 igualmente para Sophos SG. En tanto, revisa estas medidas de mitigación recomendadas por Sophos aquí.

Si eres cliente Compunet; Nuestro SOC ya está tomando medidas y validando nuestras instalaciones. Si necesitas ayuda; escríbenos.

Indicar que la NSA ha publicado que ya existe evidencia de explotación activa para este RCE sobre hotfix por lo que te invitamos a tomar acción a la brevedad. Te dejamos la fuente original con el análisis detallado del equipo de Qualys aquí.

Gracias!

Equipo Compunet.

Open chat
WhatsApp
Hola 👋
¿En qué podemos ayudarte?