Advisory

Exim MTA Zero Day

October 19, 2023

Exim merupakan layanan Mail Transfer Agent (MTA) yang umumnya digunakan secara default pada sistem berbasis UNIX, Linux, dan sistem lainnya seperti cPanel. Tercatat 6 celah keamanan Zero Days yang mungkin berdampak pada sekitar 3.5 Juta sistem yang menggunakan Exim sebagai service Email secara Global.

 

DESKRIPSI1

 

Zero Day Initiative (ZDI) mengungkap ada 6 kerentanan Zero Day pada produk Exim (Mail Server) yang di antaranya memiliki nilai CVSS 9.8/10 yang berarti kerentanan dengan severity Critical (CVE-2023-42115). Adapun 5 kerentanan lain memiliki nilai CVSS beragam yang juga cukup membahayakanantara lain CVE-2023-42116: 8.1, CVE-2023-42117: 8.1, CVE-2023-42118: 7.5, CVE-2023-42114: 3.7, CVE-2023-42119: 3.1.

 

METODE SERANGAN2

 

1. CVE-2023-42115: disebabkan oleh kerentanan Out-of-bounds Write pada layanan SMTP (default TCP port 25) dan kurangnya validasi pada saat user melakukan input data, sehingga dapat dieksploitasi penyerang tanpa melakukan autentikasi untuk mengeksekusi kode berbahaya.

2. CVE-2023-42119: celah keamanan yang ada pada limitasi dnsdb, sehingga dimanfaatkan penyerang untuk membaca memori pada system dengan mengirimkan

3. CVE-2023-42118: tidak ada validasi data yang dikirimkan pada proses SPF Macro sehingga penyerang dapat mengeksekusi kode berbahaya pada system target.

4. CVE-2023-42117: penyerang memanfaatkan limitasi dalam layanan SMTP dengan mengirim data khusus ke server yang memicu kerusakan memori dan mengeksekusi kode berbahaya pada target sistem.

5. CVE-2023-42116: penyerang memanfaatkan limitasi pada saat sistem menangani NTLM challenge requests, sehingga memicu stack-based buffer overflow. Hal ini menyebabkan kode berbahaya yang dikirimkan penyerang dapat tereksekusi pada target sistem.

6. CVE-2023-42114 penyerang memanfaatkan limitasi pada saat sistem menangani NTLM challenge requests, sehingga memicu out-of-bounds read error yang kemudian memori pada sistem dapat terbaca.

 

PRODUK TERDAMPAK
3

 

3,5 juta Servers Exim (software version 4.00 - 4.96) yang terekspos secara online berpotensi terdampak oleh kerentanan tersebut, termasuk sistem lain yang menggunakan Exim seperti WHM/cPanel

 

Mitigasi

 

 

  • Melakukan patch terhadap 3 RCE bugs (CVE-2023-42114, CVE-2023-42115, CVE-2023-42116) dengan patch yang sudah disediakan oleh pihak Exim (https://www.exim.org/static/doc/security/CVE-2023-zdi.txt ).
  • Dapat memantau secara aktif di situs yang menginformasikan update patch yang diperlukan untuk perbaikan celah keamanan terkait (CVE-2023-42117, CVE-2023-42118, CVE-2023-42119).

 

Referensi : 

  1. https://www.cybersecurity-help.cz/vdb/SB2023092821 
  2. https://www.bleepingcomputer.com/news/security/exim-patches-three-of-six-zero-day-bugs-disclosed-last-week/ 

 

 

 

 

 

 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts