Exim güvenlik açıkları Çarşamba günü Zero Day Initiative tarafından bildirildi, ancak Cuma günü bir güvenlik postası listesinde ortaya çıkana kadar büyük ölçüde fark edilmedi. Altı hatadan dördü uzaktan kod yürütülmesine izin veriyor ve 10 üzerinden 7,5 ile 9,8 arasında önem derecesi taşıyor.
Exim, güvenlik açıklarından üçü için yamaları özel bir depoda kullanıma sunduğunu söyledi. Geri kalan üç güvenlik açığına yönelik yamaların durumu bilinmiyor. Exim, İnternet’teki 253.000’den fazla sunucu tarafından kullanılan açık kaynaklı bir posta aktarım aracısı.
ZDI, Exim‘in herhangi bir güvenlik açığı için yama yayınladığına dair hiçbir belirti sunmadı. Cuma günü OSS-Sec posta listesinde, bir Exim proje ekibi üyesi, en ciddi iki güvenlik açığına yönelik düzeltmelerin ve daha az ciddi olan üçüncü güvenlik açığına yönelik düzeltmelerin “korumalı bir depoda mevcut olduğunu ve dağıtım sorumluları tarafından uygulanmaya hazır olduğunu söyledi.”
Düzeltmeler, yöneticilerin bunları tam olarak nasıl elde ettiği veya hemen yama yapamayanlar için hafifletici önlemlerin olup olmadığı hakkında daha fazla ayrıntı içermiyor. Exim proje ekibi üyeleri, ek bilgi isteyen bir e-postaya yanıt vermedi.
CVE-2023-42115 olarak takip edilen güvenlik açıklarının en şiddetlisi, Exim ekip üyesinin yamalandığını söylediği güvenlik açıkları arasında yer alıyor. ZDI bunu, kimlik doğrulamayı yöneten bir Exim bileşenindeki sınır dışı kusur olarak tanımladı.
Çarşamba günkü duyuruda, “Bu güvenlik açığı uzaktaki saldırganların etkilenen Exim kurulumlarında rastgele kod yürütmesine olanak tanıyor.” ifadesine yer verildi. “Bu güvenlik açığından yararlanmak için kimlik doğrulamaya gerek yok.”
CVE-2023-42116 olarak takip edilen bir diğer yamalı güvenlik açığı, Exim meydan okuma bileşenindeki yığın tabanlı taşma. Şiddet derecesi 8,1 ve aynı zamanda RCE’ye de izin veriyor.
ZDI, “NTLM sorgulama isteklerinin ele alınmasında belirli bir kusur var.” dedi. “Sorun, kullanıcı tarafından sağlanan verilerin uzunluğunun, sabit uzunluklu yığın tabanlı ara belleğe kopyalanmadan önce uygun şekilde doğrulanmamasından kaynaklanıyor. Bir saldırgan, hizmet hesabı bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
Üçüncü düzeltilen güvenlik açığı, hassas bilgilerin ifşa edilmesine olanak tanıyan CVE-2023-42114 olarak izleniyor ve 3,7 puana sahip.
Bazı eleştirmenler Exim projesini güvenlik açıklarını şeffaf bir şekilde açıklamadığı için eleştirdi. Eleştirileri daha da körükleyen ZDI açıklamaları, şirket temsilcilerinin Haziran 2022’de Exim proje üyelerine güvenlik açıklarını bildirdiğini gösteren bir zaman çizelgesi sağladı. ZDI bunları Çarşamba günü açıklayana kadar aradan geçen aylarda bir avuç karşılıklı etkileşim meydana geldi.
Cuma günü OSS-Sec posta listesine gönderilen bir gönderide Exim proje ekibi üyesi Heiko Schlittermann, Haziran 2022’de özel ZDI raporunu aldıktan sonra ekip üyelerinin ek ayrıntılar istediğini ancak üzerinde çalışabileceğimiz yanıtları alamadıklarını söyledi. ”Bir sonraki temas Mayıs 2023’e kadar gerçekleşmedi. Schlittermann, “Bu temastan hemen sonra 6 sorundan 3’ü için proje hata takibini oluşturduk.” dedi. “Geriye kalan sorunlar tartışılabilir veya bunları düzeltmek için ihtiyaç duyduğumuz bilgileri kaçırıyoruz.”
Cuma günü bu kadar geç saatlerde yalnızca sınırlı sayıda ayrıntının kullanıma sunulması nedeniyle, yama uygulaması ve potansiyel hafifletme işlemleri bazı yöneticilerin umduğu kadar basit olmayabilir. Olası zorluklara rağmen güvenlik açıkları ciddi görünüyor. 2020 yılında Ulusal Güvenlik Ajansı, Kremlin tarafından desteklenen seçkin bir tehdit aktörü olan Sandworm’daki bilgisayar korsanlarının, ABD hükümetine ve ortaklarına ait ağları tehlikeye atmak için kritik bir Exim güvenlik açığından yararlandığını bildirdi. Artık yeni Exim güvenlik açıkları gün yüzüne çıktığına göre, tehdit aktörlerinin bunlardan yararlanmayı umması şaşırtıcı olmayacak.
