Exim, le logiciel populaire d'agent de transfert de courrier (MTA), contient une vulnérabilité critique qui pourrait permettre aux attaquants d'exécuter des commandes de leur choix à distance sur des serveurs de courrier non patchés, ont découvert les chercheurs de Qualys.

Classifié comme CVE-2019-10149, cette faille d'exécution de la commande à distance affecte les installations Exim 4.87 à 4.91. Le bogue a été corrigé avec la dernière version (4.92) du logiciel open-source, bien que, de l'avis général, sans le savoir. Selon Qualys, le problème « n'a pas été identifié comme une faille de sécurité », lors de la publication de la dernière version en février.

Le logiciel, qui est responsable du transfert des messages d'un ordinateur à l'autre, est installé sur un grand nombre de serveurs de messagerie accessibles en ligne. Plus de 95 % d'entre eux semblent utiliser l'une des versions les plus anciennes - et les plus vulnérables - d'Exim.

Selon Qualys, le bogue pourrait permettre aux attaquants d'exécuter des commandes sur un serveur Exim vulnérable en tant qu'utilisateur root et de parvenir à en prendre le contrôle.

La vulnérabilité est « trivialement exploitable » par un attaquant local, même avec un compte peu privilégié. Mais ce qui est peut-être plus inquiétant encore, c'est que l'exploitation à distance est également possible, que ce soit dans la configuration par défaut ou non d'Exim. Le côté positif est que cette vulnérabilité serait plus difficile à utiliser pour les attaquants éloignés.

« Cette vulnérabilité peut être exploitée instantanément par un attaquant local (et par un attaquant distant dans certaines configurations hors défaut). Pour exploiter à distance cette vulnérabilité dans la configuration par défaut, un attaquant doit garder une connexion au serveur vulnérable ouverte pendant 7 jours (en transmettant un octet toutes les quelques minutes). Cependant, en raison de l'extrême complexité du code d'Exim, nous ne pouvons garantir que cette méthode d'exploitation est la seule; des méthodes plus rapides peuvent exister. »

Pour plus de détails sur la façon dont le trou dans Exim pourrait être exploité sont disponibles dans l'avis susmentionné.

Pendant ce temps, les responsables de la maintenance d'Exim affirment qu'il n'y a aucune preuve que la faille est activement exploitée et soulignent que le correctif « existe déjà, est testé, et rétroporté vers toutes les versions que nous avons publiées depuis (et incluant) 4.87 ».

Par ailleurs, les dangers auxquels sont confrontés les serveurs de messagerie ont été documentés dans une recherche récente d’ESET qui a disséqué le premier malware spécifiquement conçu pour cibler les serveurs de messagerie Microsoft Exchange.