
Mais de metade dos servidores de email estão afectados por um bug preocupante
9 Junho, 2019Pesquisadores de segurança da Qualys revelam que uma falha de segurança crítica de execução de comandos remotos (RCE) afecta mais da metade dos servidores de e-mail da Internet.
A vulnerabilidade afecta o Exim, um agente de transferência de email (MTA), que é um software executado em servidores de email para retransmitir emails de remetentes para destinatários. Segundo uma pesquisa de Junho de 2019 de todos os servidores de e-mail visíveis na Internet, 57% (507.389) de todos os servidores de e-mail executam o Exim – embora diferentes relatórios colocassem o número de instalações Exim em dez vezes esse número, em 5,4 milhões.
A Qualys, uma empresa de segurança cibernética especializada em segurança e conformidade na nuvem, disse que encontrou uma vulnerabilidade muito perigosa nas instalações do Exim executando as versões 4.87 a 4.91. A vulnerabilidade é descrita como uma execução de comando remoto – diferente, mas tão perigosa quanto uma falha de execução remota de código – que permite que um invasor local ou remoto executar comandos no servidor Exim como root.
A equipa disse que a vulnerabilidade pode ser explorada instantaneamente por um invasor local que tenha uma presença num servidor de email, mesmo com uma conta com poucos privilégios. Mas o perigo real vem de hackers remotos que exploram a vulnerabilidade, que podem vasculhar a Internet em busca de servidores vulneráveis e assumir esses sistemas.
A vulnerabilidade parece ter sido corrigida com o lançamento do Exim 4.92, a 10 de Fevereiro de 2019, mas no momento em que a equipa do Exim lançou a versão 4.92, eles não sabiam que tinham resolvido uma grande falha de segurança.
“Isso só foi descoberto recentemente pela equipa da Qualys durante a auditoria de versões mais antigas do Exim. Agora, os pesquisadores da Qualys estão a alertar os utilizadores do Exim para actualizarem para a versão 4.92 para evitar que os seus servidores sejam controlados pelos invasores.”
Sandro Sotto
Licenciado em Educação Física e apaixonado por novas tecnologias e gadgets. O meu hobbie alem da família e os amigos são os desportos motorizados e mais recentemente comecei a dedicar-me ao mergulho.