Theo các nhà phát triển của Exim, lỗ hổng này có định danh CVE-2019-15846, ảnh hưởng đến Exim phiên bản 4.92.1 và các phiên bản phát hành trước đó. Hiện tại, Exim đã phát hành phiên bản 4.92.2 để khắc phục lỗ hổng này.
Đây là lỗ hổng tràn bộ đệm heap, ảnh hưởng đến các máy chủ Exim cho phép các kết nối TLS. Các nhà phát triển nhấn mạnh rằng, việc khai thác không phụ thuộc vào thư viện TLS được sử dụng, nên cả GnuTLS và OpenSSL đều bị ảnh hưởng. Lỗ hổng có thể bị khai thác bằng cách gửi một kết thúc SNI trong dãy gạch chéo-null trong tiến trình bắt tay TLS ban đầu.
Mặc dù chưa có bằng chứng về việc khai thác lỗ hổng trong thực tế, nhưng các nhà nghiên cứu của công ty an toàn mạng Qualys (Mỹ) đã phân tích lỗ hổng và xây dựng một chứng minh khái niệm (PoC) cơ bản để chứng minh việc tràn bộ đệm heap là có thể khai thác được. Lỗ hổng này đã được báo cáo với nhà phát triển Exim vào ngày 21/7 bởi một nhà nghiên cứu có biệt danh trực tuyến là “Zerons”.
Lỗ hổng CVE-2019-15846 có thể ngăn chặn bằng cách cấu hình máy chủ không cho phép kết nối TLS, nhưng cách này không được các chuyên gia khuyến nghị. Một cách khác là thêm các quy tắc cụ thể vào danh sách kiểm soát truy cập (access control list).
Tuy nhiên, chuyên gia bảo mật máy tính Craig Young thuộc đội ngũ nghiên cứu lỗ hổng của công ty an toàn mạng Tripwire (Mỹ) nhận định rằng, lỗ hổng tràn bộ đệm trong Exim không trực tiếp cho phép tin tặc thực thi lệnh với đặc quyền root, thay vào đó là ghi đè bộ nhớ mà từ đó có thể thực thi mã. Điều này khác với việc cho phép thực thi mã từ xa bởi để thực hiện điều này, tin tặc phải vượt qua những cản trở trong tiến trình thực thi của chương trình, cũng như các biện pháp giảm thiểu khai thác của hệ điều hành.
Exim là một trong những máy chủ email được sử dụng rộng rãi nhất hiện nay. Theo thống kê của công cụ tìm kiếm Shodan, có khoảng 5 triệu máy đang được sử dụng, chiếm đa phần số máy chủ email tại Mỹ. Điều này khiến Exim trở thành mục tiêu hấp dẫn của tin tặc.
Trước đó vào tháng 6/2019, các chuyên gia cũng đã cảnh bảo về lỗ hổng có định danh CVE-2019-10149 trong Exim (đã có bản vá) bị khai thác để phán tán mã độc đào tiền ảo.
M.C
05:00 | 18/03/2019
09:00 | 25/09/2019
10:00 | 08/10/2019
09:00 | 10/03/2019
13:00 | 19/02/2019
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024