Vulnerabilità VMWare grave 9.8 su 10

Una grave vulnerabilità ai sistemi di virtualizzazione VMware, versioni 6.5, 6.7 e 7.0 è stata di recente scoperta e pubblicata del produttore (il 25 maggio 2021).
La falla al sistema affligge la componente VMWare vCenter, e permette di eseguire comandi con pieni privilegi amministrativi da remoto senza nessuna autenticazione.
La vulnerabilità VMware e’ cosi’ grave e facilmente sfruttabile che e’ stata classificata (CRITICAL) con punteggio 9.8 su 10 da sistema CVSS 3.x.
Se il servizio e’ in ascolto accessibile dalla porta TCP 443 (configurazione tipica e molto diffusa) si puo’ avere pieno controllo del sistema operativo ed eseguite qualsiasi operazione.
Stanno da giorni circolando script che permettono di sfruttare facilmente la falla indicata e sono gia’ stati rilevati numerosissimi attacchi ai sistemi accessibili dalla rete.

vulnerabilità VMware
vulnerabilità VMware

Riferimenti
Data: 2021-05-25
CVE(s): CVE-2021-21985, CVE-2021-21986
Prodotto affetto: VMware vCenter Server updates address remote code execution and authentication vulnerabilities
URL: VMSA-2021-0010 (vmware.com)

Server dedicato Vs Cloud Vs VPS (virtual private server)

Confronto tra server dedicato, Cloud, VPS e hosting condiviso.


Dovrei usare un server dedicato, o l’hosting condiviso, oppure una istanza cloud o una VPS?
Ti stai preparando per lanciare un nuovo progetto di sito web, scegliere dove installare il sito web può essere una decisione difficile. Anche per sviluppatori esperti, non è un compito facile dato il numero enorme di soluzioni e di società disponibili che offrono diversi servizi e funzionalità.

In questo articolo confronteremo i quattro tipi principali di hosting: hosting condiviso, server dedicato, VPS e cloud. Ciascuna di queste opzioni ha i suoi vantaggi e svantaggi, che è importante capire in modo da poter determinare quale soluzione si adatti meglio alle esigenze del tuo sito web.

Un progetto web che possa correre verso il successo, deve essere ospitato nel giusto server

Hosting condiviso

L’hosting condiviso è l’opzione più diffuso per le persone che creano il loro primo sito web.
Quando ti registri per l’hosting condiviso, la società di hosting metterà il tuo sito web su un server insieme a centinaia, o piu’ probabilmente migliaia, di altri siti web. Ciò significa che ogni cliente deve condividere lo spazio disco e le risorse sul server con ogni altro cliente, inclusi il tempo della CPU, la memoria e lo spazio su disco.
Per quanto ben configurato, un tipo di gestione come questo non puo’ che risentire di qualsiasi rallentamento dovesse essere causato da uno qualunque dei siti ospitato. Anche dal punto di vista della sicurezza, la compromissione di uno dei siti potrebbe provocare danni negli altri (anche solo di reputazione e visibilita’ SEO)

L’hosting condiviso è l’opzione più economica ed economica per quanto riguarda l’hosting. Tuttavia, ottieni quello per cui paghi: in questo caso, l’hosting condiviso ha limitazioni rilevanti.

Pro
Costa poco.
È adatto ai principianti. È facile iniziare con l’hosting condiviso rispetto ad altre opzioni di hosting.
La sicurezza , gli aggiornamenti e la manutenzione del server sono gestiti per te.

Contro
Può essere lento. Con così tanti altri siti Web in esecuzione sullo stesso server, i tempi di caricamento della pagina potrebbero risentirne.
La sicurezza non è garantita. Non sai chi altro sta utilizzando lo stesso server, quindi se un sito ha una perdita di memoria o viene violato, il tuo sito potrebbe esserne danneggiato.
Mancanza di controllo e prestazioni del server. Se il server è sovraffollato o se un altro sito Web occupa più della loro quota di risorse, le prestazioni possono ridursi.
È difficile da scalare a causa dello spazio di archiviazione e della larghezza di banda limitati.

Adatto a:
Piccoli siti web con traffico minimo come blog e siti personali.

Virtual Private Server (VPS)

VPS è simile all’hosting condiviso in quanto il tuo sito web condivide un server con altri, ma il server è partizionato in diversi ambienti di server virtualizzati. A differenza dell’hosting condiviso, usando dei VPS di solito si ottengono risorse minime garantite, oltre a risorse aggiuntive disponibili nel caso in cui il tuo sito subisca un picco di traffico.

Se paragoniamo una VPS ad un condominio, mentre condividi lo stesso edificio con altri residenti, sei responsabile della manutenzione del tuo appartamento di proprietà e di eventuali riparazioni che devono essere eseguite all’interno.

Pro
Più conveniente di un server dedicato e paghi per ciò di cui hai bisogno.
Più sicuro. Per segmentare correttamente il server, l’host installa uno strato di software che ti dedica parte del server, che lo rende completamente separato dagli altri clienti.
È veloce. Ti vengono assegnate più risorse rispetto all’hosting condiviso.
Accesso al server principale. Puoi effettuare personalizzazioni in base alle tue esigenze e hai un maggiore controllo sul tuo ambiente di hosting.
È scalabile. Un VPS può crescere con il tuo sito man mano che le esigenze del tuo server aumentano nel tempo.

Contro
Alcune società di server vendono eccessivamente i propri server, sperando che ogni sito che attualmente utilizza un determinato server non abbia un giorno di traffico di punta.
Più costoso dell’hosting condiviso.
Se scegli un VPS non gestito, potrebbe essere difficile da configurare, richiedendo più tempo per rendere il tuo sito Web attivo e funzionante.

Adatto a:
Se l’hosting condiviso è troppo semplice per le tue esigenze e desideri risorse dedicate e un maggiore controllo sul tuo ambiente di hosting, un VPS potrebbe essere la soluzione giusta per te.

Istanze Cloud

Il cloud hosting si basa sul concetto di tecnologie di cloud computing che consentono a un numero illimitato di macchine di agire come un unico sistema. Quindi, invece di ospitare un sito Web su un singolo server, è ospitato su una partizione virtuale di un server e trae le sue risorse da una rete di server esistenti. Ciò consente a più server di lavorare insieme per gestire livelli di traffico elevati o picchi per un determinato sito Web: sì, devi condividere risorse con altri utenti, in modo simile a VPS, ma poiché ci sono più server coinvolti, ci sono più risorse disponibili per tutti.

Il cloud hosting è estremamente affidabile perché attinge le sue risorse da più server diversi: se un server si arresta, gli altri server colmano il vuoto. Inoltre, il cloud hosting è flessibile e scalabile, quindi può crescere con il tuo sito web: se il tuo sito ha bisogno di più risorse, aggiungile semplicemente.

Pensa al cloud hosting come affittare una stanza usando Airbnb. Condividete la casa con il proprietario e gli altri ospiti, e quando siete pronti per andare avanti potete soggiornare in un’altra casa elencata su Airbnb.

Pro
È affidabile. A differenza di altri tipi di hosting che si basano su hardware fisico, il cloud hosting avviene in data center composti da centinaia di server con ridondanze multiple che proteggono dai guasti.
Scalabilità e flessibilità. Se improvvisamente hai bisogno di maggiori risorse, il cloud hosting può essere facilmente ridimensionato per soddisfare le tue esigenze e non sei limitato ai vincoli fisici di un singolo server.
Costo efficiente. Paghi solo per le risorse che utilizzi.

Contro
Hai bisogno di conoscenze avanzate. Il cloud hosting non è una soluzione facile da configurare e iniziare a utilizzare subito, anche per gli sviluppatori.
Stai condividendo risorse con altri siti web. Nel complesso il livello di sicurezza e’ mediamente buono.

Adatto a:
Il cloud è buona opzione per aziende di qualsiasi dimensione, in alcuni ambiti puo’ essere conveniente. Tuttavia, se non hai il know-how tecnico o l’accesso a qualcuno che lo possiede, potresti volerti affidare a sistemisti che possano supportarti nella gestione di questa soluzione.

Server dedicato

Un server dedicato è esattamente come sembra: il tuo sito web è memorizzato su un singolo server fisico dedicato al tuo uso personale. Non condividi il server con nessuno, hai pieni diritti sulle risorse del server e puoi configurare gli ambienti di hosting secondo le tue esatte specifiche.

Questo tipo di hosting è generalmente più costoso, ma in cambio si ottengono prestazioni molto elevate e un livello di sicurezza più elevato rispetto ad altre forme di hosting.

Paragonando l’hosting dedicato ad una residenza e’ come possedere la tua casa indipendente. Sei l’unico residente. Puoi parcheggiare l’auto nel tuo vialetto e dipingere la tua casa del colore che preferisci. Ma sei il responsabile ultimo della manutenzione della tua proprietà e spetta a te installare un allarme di sicurezza per bloccare i ladri.

Pro
Hai un server dedicato tutto per te.
Hai pieno accesso a tutte le impostazioni e puoi personalizzare completamente il server in base alle esigenze del tuo sito web.
È veloce. Ottieni il 100% di accesso alle risorse del server.
Ottime prestazioni del server poiché puoi personalizzare il server per soddisfare le specifiche esatte di cui hai bisogno per il tuo sito.
È sicuro . Dato che sei l’unico che utilizza il server, non devi preoccuparti dell’effetto “cattivo vicino” che è comune con la condivisione dell’hosting.
Si ha accesso a tutti i dati del server (log, accessi, informazioni di utilizzo delle risorse)
Assistenza sull’hardware e la connettività vengono fornite dalle società di web hosting che renderanno prioritario fornirti il ​​miglior supporto.

Contro
Ha costi piu’ elevati rispetto alle altre soluzioni.
Hai bisogno di personale tecnico qualificato per mantenere e ottimizzare il server. Sei responsabile del tuo server, quindi se qualcosa va storto spetta a te risolverlo. E’ consigliabile per queste tipologie di sistemi disporre di una assistenza sistemistica in outsourcing.

Adatto a:
Poiché l’hosting dedicato è piu’ costoso di altre soluzioni, è più adatto alle aziende e ai siti Web che ricevono molti visitatori al mese. L’hosting dedicato è anche un’opzione ideale se hai un’attività che richiede elevate prestazioni, totale controllo e alto livello di sicurezza.

Conclusione

Prima di scegliere server per ospitare il tuo sito web e il tuo business, è importante capire di che tipo di servizio hai bisogno, che si tratti di hosting condiviso, VPS, dedicato o cloud.

Red Hat introduce RHEL una versione gratuita per piccoli carichi di lavoro fino a 16 sistemi

Dopo aver ricevuto molti reclami sugli ultimi piani di sviluppo per CentOS Linux, Red Hat inizierà a offrire Red Hat Enterprise Linux a costo zero per piccoli carichi di lavoro per la produzione e lo sviluppo.
Quando Red Hat ha annunciato che avrebbe cambiato CentOS Linux da un clone stabile di Red Hat Enterprise Linux (RHEL) a una distribuzione Linux di tipo “rolling”, molti utenti di CentOS hanno reagito con grande disappunto. Ora, trovare una nuova pace con i numerosi utenti, Red Hat sta introducendo una modalità d’uso di RHEL gratuito.

Licenze REDHAT

Occorre segnalare che, al posto di CentOS Linux, Red Hat offriva da tempo agli sviluppatori l’uso gratuito di RHEL attraverso il programma Red Hat Developer. I termini dell’offerta in precedenza ne limitavano l’uso agli sviluppatori monomacchina. Ora Red Hat amplierà questo programma in modo che l’abbonamento per sviluppatore individuale a RHEL possa essere utilizzato anche in produzione per un massimo di 16 sistemi.
Per usufruire di questa possibilita’ di utilizzo e’ sufficiente la sola sottoscrizione al programma “Individual Developer”. Tale aggiornamento sara’ disponibile dal giorno 1 febbraio 2021.

Rocky Linux il nuovo clone di RHEL per i server

In arrivo in primavera il clone della distribuzione Linux Enterprise col cappello rosso.
La risposta dopo l’annuncio che a breve cessera’ il supporto di CentOS 8 (previsto inizialmente per il 2029 e anticipato al 2021 !)
L’annuncio di Jordan Pisaniello racconta quali sono gli sviluppi a poche settimane dall’avvio.
Le attese della comunita’ sono molte visto che la distribuzione e’ per molte aziende il sistema operativo alla base del proprio business.

Rocky Linux server enterprise

Il gruppo di sviluppo dichiara che la trasparenza con la comunità e per coloro che si affideranno a Rocky Linux è fondamentale.
Presto sara resa pubblica la Timeline del che seguira’ i seguenti passi:

  • realizzazione dei sistemi e delle infrastrutture
  • creazione delle infrastrutture per il build automatico dei pacchetti
  • il repository dei pacchetti sarà reso pubblico per i test
  • disponibilità dell’installatore per i test
  • stimato il tempo necessario per i test della comunità
  • rilascio della release-candidate

Fonte: https://fossbytes.com/first-release-of-rocky-linux-will-arrive-after-march-2021/

La fine di CentOS come distribuzione Enterprise

In settembre si discuteva. Una idea sul futuro di CentOS: penso non sia roseo.

Senza tediarti gli eventi passati sono questi (la storia si ripete).

  • Redhat (la compagnia) fa business con la sua distribuzione libera e gratuita chiamata appunto “RedHat”, e’ il 1995 circa
  • per fare piu’ contratti di assistenza e profitto la distribuzione RedHat viene trasformata in Red Hat Enterprise Linux “RHEL”(circa 2003) non piu’ libera (solo i sorgenti, come impone la GPL sono disponibili), per accontentare la comunita’ e far sperimentazioni viene lanciata Fedora. Peccato che negli ambienti di produzione non si vuole sperimentazione ma STABILITA’.
  • Nasce CentOS come ricompilazione dei sorgenti di RHEL (circa 2004),
  • CentOS 6 e 7 si diffondono moltissimo nelle sale server,
  • 2018 tutti i dipendenti di CentOS assunti da RedHat !
  • 2018, viene rilasciata RHEL 8, la ricompilazione di RHEL 8 in CentOS 8 ritarda quasi 1 anno
  • 2018 nasce CentOS Stream: una versione non ricompilata dai sorgenti RHEL ma di sviluppo e test di RHEL (non adatta alla produzione… ci risiamo…)
  • 2019 RedHat viene acquisita da IBM…
    Mi sembra sia chiaro che i giganti dell’informatica (Google, Amazon, IBM, Oracle, …) ormai abbiano capito i modi per aggirare o superare gli ostacoli imposti dalle licenze del software libero e stanno producendo enormi profitti da cio’.
    Cosa ne sara’ di CentOS ??? Difficile dirlo ma e’ presente in una grossa fetta degli ambienti server e difficilmente non stimola l’appetito di soldi del mondo informatico.

Oggi 12 Dicembre 2020, la notizia che CentOS 8 e suoi futuri sviluppi termineranno. Sostituiti con una distribuzione di sviluppo e NON di produzione.
La notizia riporta chiaramente: “CentOS Linux 8, as a rebuild of RHEL 8, will end at the end of 2021.”

Fonte: https://blog.centos.org/2020/12/future-is-centos-stream/

Addio CentOS RIP

Fine supporto per CentOS 6, non sarà più aggiornato

Terminato il supporto di CentOS 6

Il famoso sistema operativo basato su Linux e clone della famosa distribuzione Enterprise RHEL 6 e’ giunto, dopo 10 anni di onorato servizio, alla fine del suo ciclo di vita. Dal 30 novembre 2020 i server con installato CentOS 6, non riceveranno aggiornamenti di sicurezza. Ha raggiunto quello che tecnicamente e’ chiamato EOL (End Of Life).
CentOS 6 e’ ancora molto diffuso ed installato su moltissimi server fisici, virtuali e in istanze cloud, in aziende e in server farm. L’impatto della fine supporto e’ percio’ rilevante in particolare dal punto di vista della sicurezza.

CentOS 6 fine supporto 30 novembre 2020
CentOS 6 fine supporto 30 novembre 2020

Non solo, chi oggi lancera’ una aggiornamento della lista dei pacchetti presenti nei repository ricevera’ un errore di questo tipo:

YumRepo Error: All mirror URLs are not using ftp, http[s] or file.
Eg. Invalid release/repo/arch combination/
removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist.txt
Errore: Cannot find a valid baseurl for repo: base

In questo modo, non solo non disporra’ degli aggiornamenti ma non potra’ neppure installare o reinstallare un pacchetto necessario.
Per questo problema c’e’ una soluzione: affidarsi agli archivi “vault” (ATTENZIONE:questo archivio non presenta aggiornamenti di sicurezza ma si tratta solo di un archivio di pacchetti utilizzabili). Bastera’ lanciare il seguente comando.

curl https://www.getpagespeed.com/files/centos6-eol.repo -o /etc/yum.repos.d/CentOS-Base.repo

Ovviamente, la soluzione a lungo termine non e’ quella di rimanere con un server privo di aggiornamenti ma di migrare ad altra versione del sistema operativo, ad esempio CentOS 7 che sara’ supportato fino al 2024 oppure CentOS 8 che avra’ aggiornamenti fino al 2029 (AGGIORNAMENTO CentOS 8 sara’ supportato solo fino al 2021 – Leggi ARTICOLO). L’aggiornamento di un sistema in produzione da centOS 6 alla versione 7 e’ sconsigliato, le due versioni presentano enormi differenze ( dal kernel al sistema di gestione dei servizi e molto altro ancora).
Anche la migrazione non e’ del tutto priva di problemi, le versioni dei pacchetti (php, Mysql, apache, etc.) tra versioni sono molto diverse e conviene fare una analisi prima di procedere. Se la procedura di migrazione preoccupa il consiglio e’ quello di affidarsi a sistemisti esperti che possono suggerire la soluzione migliore per evitare qualsiasi interruzione dei servizi. Suggeriamo l’assistenza offerta da SicurezzaRete.

Vulnerabilità WordPress, milioni di siti a rischio.

La vulnerabilita’ di WordPress
WPBakery, un diffuso plug-in per WordPress che svolge la funzionalita’ di editor html, ha una grave vulnerabilità che consente agli utenti con livello di autore e collaboratore di iniettare JavaScript e HTML dannosi in post e pagine. Il difetto interessa tutti i siti WPBakery che utilizzano la versione 6.4 e precedenti e coinvolge oltre 4 milioni di siti web.

Vulnerabilità WordPress WPbakery

I dettagli del problema
Wordfence ha scoperto una vulnerabilità nel famoso page builder di WPBakery (vedi articolo Wordfence del 7 ottobre 2020). La falla consentiva ad attaccanti autenticati con livello di contributore e autore di iniettare codice JavaScript dannoso in post e pagine. Inoltre, la vulnerabilità consente a questi utenti di modificare i post di altri utenti.

Ciò accade perché WPBakery ha disabilitato i controlli di filtraggio post-HTML predefiniti nella funzione saveAjaxFe. Pertanto, qualsiasi utente con accesso al generatore di pagine potrebbe potenzialmente iniettare HTML e JavaScript. Inoltre, la funzionalità onclick di WPBakery per i pulsanti consente agli hacker di aggiungere codice javascript dannoso in un pulsante che viene eseguito quando gli utenti fanno clic su di esso.
Le vulnerabilità wordpress nei plug-in e nei temi non sono nuove. Quindi, è una buona idea seguire alcune best practice di sicurezza per mantenere il tuo sito al sicuro. Infine, per prevenire attacchi DDOS e tenere a bada gli hacker.

Soluzione
La buona notizia è che c’è una soluzione rapida: aggiorna WPBakery all’ultima versione 6.4.1. Quindi ti consigliamo di aggiornare il generatore di pagine il prima possibile. Inoltre, tieni d’occhio tutti gli account a livello di contributore e autore per assicurarti che siano affidabili.

Utilizzi il page builder di WPBakery? Hai aggiornato all’ultima versione? Quale e’ lo stato degli altri plug-in? Se non sai come fare per aggiornare o hai poco tempo affidati a professionisti attraverso un contratto di assistenza.

Falla su OpenVPN

Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali.
Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.

VEDI sito web OpenVPN
Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810
Vedi sito web MITRE
Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database).
A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis)
Vedi sito web Slackware

SACK Panic: grave problema nei dispositivi basati su linux degli ultimi 10 anni

SACK panic sicurezza reti informatiche
SACK panic sicurezza reti informatiche

I ricercatori di Netflix hanno scoperto alcune nuove vulnerabilità denial-of-service (DoS) nei kernel Linux e FreeBSD, inclusa una grave vulnerabilità (CVSS: 8.2) chiamata SACK Panic che potrebbe consentire agli attori malintenzionati di bloccare da remoto i server ed interrompere le comunicazioni, secondo un advisory pubblicato nel repository Github: “Le vulnerabilità riguardano in particolare le capacità MSS (Maximum Segment Size) e SACK (Selective Acknowledgement) TCP. Il più serio, soprannominato “SACK Panic“, consente un blocco del kernel attivato da remoto sui kernel Linux”.

I ricercatori di Netflix hanno aggiunto che ci sono patch per la maggior parte di queste vulnerabilità e strategie di mitigazione aggiuntive da considerare se la patch non è possibile.

“I problemi sono stati assegnati codici CVE: CVE-2019-11477 è considerato un livello di gravità importante, mentre CVE-2019-11478 e CVE-2019-11479 sono considerati di gravità moderata”, ha dichiarato un advisory di Red Hat.

Questi difetti possono avere un impatto su qualsiasi organizzazione che esegue grandi flotte di computer Linux di produzione e, se lasciati privi di patch, consentono agli aggressori remoti di assumere il controllo e bloccare le macchine.
Una volta che la maggior parte di delle infrastrutture avra’ ricevuto la patch appropriata, molte organizzazioni dovranno affrontare la lunga coda del ciclo di aggiornamento. Alla fine di questa coda ci sono i dispositivi che non ricevono aggiornamenti automatici e che potrebbero non ricevere alcun aggiornamento – la IOT (Internet of things) e i dispositivi non gestiti che in molti casi sono costruiti su Linux (router, firewall, VPN, etc.). Questa vulnerabilità risale a molto tempo indietro (dal momento che Linux v2.6.29, che è stato rilasciato 10 anni fa), quindi la quantità di dispositivi legacy che usano il codice vulnerabile sarà molto significativa in questo caso, e questi tipi di dispositivi probabilmente non riceveranno aggiornamenti e rimarranno vulnerabili.

RIFERIMENTI

  • SACK Panic (CVE-2019-11477)
  • SACK Slowness or Excess Resource Usage (CVE-2019-11478)
  • SACK Slowness the RACK TCP Stack (CVE-2019-5599)
  • Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)

Falla di Exim mette a rischio milioni di server

Una grave vulnerabilità (CVE-2019-10149), che ha un punteggio di gravità critico di 9,8 su 10 sulla scala CVSS v3, è stata scoperta il 5 giugno nelle versioni dalla 4.87 alla 4.91 di Exim. La versione 4.92 di Exim non è vulnerabile.
La maggiore gravita’ della falla consiste nel fatto che, in determinate condizioni (non rare) la falla puo’ essere sfruttata da remoto per eseguire comandi di livello amministrativo.

Grave falla in server mail Exim
Grave falla in server mail Exim

Il server di posta Exim e’ un MTA open-source, che riceve, instrada e consegna messaggi e-mail da utenti locali e host remoti.
Exim è l’MTA predefinito incluso in alcuni sistemi Linux tra cui il diffusissimo sistema di Web-Hosting WHM/Cpanel.

Gli aggressori stanno sfruttando un difetto critico di Linux Exim per eseguire comandi remoti, scaricare i ministri crittografici e annusare altri server vulnerabili.

Nello specifico, sotto attacco è un difetto nei server di posta basati su Exim, che gestiscono un enorme numero di server di posta elettronica di Internet.

Exim è infatti ampiamente distribuito. Al momento della pubblicazione, i risultati di ricerca di una ricerca condotta da Shodan mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91), mentre 475.591 utilizzano l’ultima versione con patch (4.92). In altre parole, quasi il 90% dei sistemi con Exim è vulnerabile allo sfruttamento locale e potenzialmente allo sfruttamento remoto basato sulla configurazione.I risultati mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91)

Risultati totali per numero di versione
Exim 4.87: 206.024
Exim 4.88: 24.608
Exim 4.89: 206.571
Exim 4.90: 5.480
Exim 4.91: 3.738.863
Exim 4.92: 475.591

Gli aggressori stanno sfruttando il difetto, scoperto la scorsa settimana, per prendere il controllo delle macchine della vittima, cercare su Internet altre macchine da infettare e avviare un’infezione da cryptominer.

Una campagna diffusa sta sfruttando una vulnerabilità nell’agente di trasporto della posta Exim (MTA) per ottenere l’esecuzione da remoto dei comandi sui sistemi Linux delle vittime. I ricercatori dicono che attualmente più di 3,5 milioni di server sono a rischio dagli attacchi, che utilizzano un exploit wormable.

“Questi tipi di attacchi hanno grandi implicazioni per le organizzazioni”, hanno detto i ricercatori di Cybereason in un post di giovedì. ” Il processo di recupero da questo tipo di attacco è costoso e richiede molto tempo.”

Il difetto
Il difetto deriva dalla convalida impropria dell’indirizzo del destinatario nella funzione deliver_message () nel server.

“Una patch esiste già, è in fase di test e backported a tutte le versioni rilasciate da (e incluso) 4.87”, secondo un recente avviso di sicurezza. ” La gravità dipende anche dalla configurazione. Dipende da quanto vicino alla configurazione standard è la tua configurazione di runtime Exim.

Una prima ondata di attacchi a questa vulnerabilità – che ha coinvolto utenti malintenzionati che lanciavano exploit da un malintenzionato server command-and-control (C2) – è stata scoperta il 9 giugno dal ricercatore Freddie Leeman.

Si consigli di provvedere subito all’aggiornamento dei server che presentano tale grave falla al fine di proteggere i propri utenti e quelli esterni che possono veder violati i propri dati riservati. A tal fine si consiglia di lasciar operare sistemisti linux esperti (suggeriamo i servizi erogati da SicurezzaRete.com)