Nguy cơ tấn công từ xa hệ thống máy chủ Email

Danh sách các lỗ hổng cụ thể là như sau:

• CVE-2023-42114 (Điểm CVSS: 3.7) - Lỗ hổng tiết lộ thông tin do lỗi đọc ngoài giới hạn trên Exim NTLM Challenge.

• CVE-2023-42115 (Điểm CVSS: 9.8) - Lỗ hổng cho phép thực thi mã từ xa do lỗi ghi ngoài giới hạn trên Exim AUTH.

• CVE-2023-42116 (Điểm CVSS: 8.1) - Lỗ hổng cho phép thực thi mã từ xa do tràn bộ nhớ đệm trên Stack của Exim SMTP Challenge.

• CVE-2023-42117 (Điểm CVSS: 8.1) - Lỗ hổng cho phép thực thi mã từ xa do việc không trung hòa đúng cách của các yếu tố đặc biệt trên Exim.

• CVE-2023-42118 (Điểm CVSS: 7.5) - Lỗ hổng cho phép thực thi mã từ xa do lỗi Integer Undeflow trên Exim libspf2.

• CVE-2023-42119 (Điểm CVSS: 3.1) - Lỗ hổng tiết lộ thông tin do lỗi đọc ngoài giới hạn trên Exim dnsdb.

Trong danh sách trên, lỗ hổng nghiêm trọng nhất là CVE-2023-42115, lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa trên các phiên bản bị ảnh hưởng của Exim. Cụ thể, lỗ hổng này tồn tại ở dịch vụ SMTP trên cổng TCP 25 và phát sinh do sự thiếu sót trong quá trình xác thực hợp lệ của dữ liệu do người dùng cung cấp.

Hậu quả của sự thiếu sót này là khả năng ghi dữ liệu ra ngoài giới hạn, cho phép đối tượng tấn công thực thi mã từ xa dưới danh tính của tài khoản dịch vụ.

Exim đã công bố bản vá các lỗ hổng CVE-2023-42114, CVE-2023-42115 và CVE-2023-42116. Tuy nhiên, đội ngũ bảo mật Exim còn đang chờ thông tin chi tiết về ba lỗ hổng còn lại. Trong trường hợp chưa có bản vá của các lỗ hổng này, các chuyên gia khuyến nghị người dùng nên hạn chế sử dụng ứng dụng Exim.

Đáng chú ý, đây không phải là lần đầu tiên Exim gặp vấn đề về bảo mật. Trước đó, đã phát hiện 21 lỗ hổng bảo mật có mã định danh là 21Nails, các lỗ hổng này cho phép đối tượng tấn công không cần xác thực việc thực thi mã từ xa mà vẫn chiếm được quyền root trên máy chủ Exim.

Vào tháng 05/2020, chính phủ Mỹ đã thông báo về việc các nhóm tấn công liên quan đến nhóm Sandworm đã khai thác thành công lỗ hổng CVE-2019-10149 trên Exim để xâm nhập vào các hệ thống mạng quan trọng.

Báo cáo này càng trở nên quan trọng hơn bởi sự xuất hiện của một phương thức mới gọi là "spoofing chuyển tiếp", đối tượng tấn công sử dụng phương thức này để lợi dụng các lỗ hổng trong tác vụ chuyển tiếp email gửi các thông điệp giả mạo, ảnh hưởng đến tính toàn vẹn của dữ liệu.