Vulnerabilidad de ejecución de comandos afecta a la mitad de los servidores email del mundo

Una investigación de los especialistas en seguridad de aplicaciones web de la firma de seguridad Qualys ha revelado que más de la mitad de los servidores de correo electrónico se ven afectados por una vulnerabilidad crítica de ejecución remota de comandos (RCE).

Los expertos reportan que esta falla afecta al agente de transferencia de correo (MTA) Exim, un software que ejecutan los servidores de email para retransmitir los correos de los remitentes a los destinatarios.

En una encuesta realizada entre todos los servidores de correo convencionales, el 57% de estos (alrededor de 507 mil 300) dijo utilizar Exim, aunque otros trabajos de investigación afirman que el total de instalaciones de este software excede los 5 millones, por lo que el alcance de esta vulnerabilidad es considerable.

Los expertos en seguridad de aplicaciones web de la firma especializada en seguridad en la nube publicaron un informe en el que afirman haber encontrado una peligrosa vulnerabilidad en las implementaciones de Exim que ejecutan desde la versión 4.87 hasta 4.91.

“Se trata de una vulnerabilidad de ejecución remota de comandos (no debe confundirse con la ejecución remota de código) que permite a los actores maliciosos, ya sean locales o remotos, ejecutar comandos en el servidor Exim con privilegios de usuario root”, menciona el informe de los expertos.

La vulnerabilidad podría ser explotada de inmediato por un hacker local con presencia en el servidor de email, no importa que el atacante emplee una cuenta de usuario con privilegios limitados. Pero el peor escenario posible es la explotación remota de la vulnerabilidad, pues los hackers podrían buscar en Internet servidores vulnerables para tomar control total de un sistema.

“Un atacante debe mantener activa la conexión con el servidor vulnerable al menos por siete días para explotar esta vulnerabilidad”, añadieron los expertos en seguridad de aplicaciones web. Por lo tanto, los hackers tendrían que transmitir una mínima cantidad de datos por intervalos de unos cuantos minutos. “No obstante, Exim es un código muy complejo, por lo que es probable que existan otros métodos de explotación más eficientes que los que reportamos en nuestro informe”, añadieron los expertos.

Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), la vulnerabilidad fue corregida con el lanzamiento de Exim 4.92, aunque de modo circunstancial, pues los desarrolladores no estaban al tanto de la existencia de la vulnerabilidad.