Phát hiện lỗ hổng bảo mật trong giao thức TLS của máy chủ Exim mail cho phép tin tặc chiếm quyền điều khiển máy chủ email từ xa

Exim Mail - một phần mềm máy chủ email mã nguồn mở phổ biến, đang được sử dụng bởi hơn 500.000 máy chủ email trên toàn thế giới, đang tồn tại một lỗ hổng bảo mật nghiêm trọng, có thể cho phép tin tặc tiến hành các cuộc tấn công thực thi mã lệnh tùy ý từ xa.

Phát hiện lỗ hổng bảo mật trong giao thức TLS của máy chủ Exim mail cho phép tin tặc chiếm quyền điều khiển máy chủ email từ xa - CyberSec365.org

Theo đó, lỗ hổng bảo mật này (có mã hiệu CVE-2019-15846) ảnh hưởng đến các máy chủ Exim sử dụng kết nối TLS, cho phép kẻ tấn công truy cập vào thư mục gốc của hệ thống bằng cách gởi các SNI (Server Name Indication - một phần mở rộng của giao thức TLS cho phép máy chủ lưu trữ an toàn nhiều chứng chỉ TLS cho nhiều trang web, tất cả dưới một địa chỉ IP.) kết thúc bằng một chuỗi không có các dấu xuyệt.

Theo các nhà phát triển Exim, do lỗ hổng không phụ thuộc vào thư viện TLS đang được máy chủ sử dụng, cả hai phiên bản GnuTLS và OpenSSL đều bị ảnh hưởng.

Lỗ hổng bảo mật này được phát hiện bởi Zerons - một nhà nghiên cứu bảo mật tự do và được phân tích bởi các chuyên gia an ninh mạng thuộc hãng bảo mật Qualys

Các nhà phát triển Exim cho biết đã xuất hiện bằng chứng khai thác (PoC) cho lỗ hổng này. Tuy nhiên, Exim vẫn chưa phát hiện bất kỳ cuộc tấn công tận dụng lỗ hổng CVE-2019-15846 trong tự nhiên. Tuy nhiên, lỗ hổng này ảnh hưởng đến tất cả các phiên bản máy chủ Exim Mail bao gồm phiên bản mới nhất 4.92.1

Cách đây 3 tháng, Exim cũng đã phát hành bản vá cho một lỗ hổng bảo mật (có mã hiệu CVE-2019-10149), cho phép tin tặc thực thi mã lệnh tùy ý từ xa. Tại thời điểm phát hiện, lỗ hổng này đã được các nhóm tin tặc tích cực khai thác trong tự nhiên.

Hiện tại, phiên bản Exim Mail 4.92.2 đã chính thức được phát hành để vá lỗ hổng bảo mật trên. Các nhà nghiên cứu khuyến nghị các quản trị viên nên cập nhật lên phiên bản Exim Mail mới nhất ngay lập tức.