Serveur de messagerie Exim : un correctif appliqué, mais peut-être pas assez vite

C’est le 5 juin qu’a été révélée la vulnérabilité référencée CVE-2019-10149 affectant toutes les versions d’Exim antérieures à la 4.92. Dans une note d’information du 11 juin, le Cert-FR relevait que « cette vulnérabilité est triviale à exploiter, d’autant plus que du code d’attaque est disponible sur Internet ». Et elle permet de forcer l’exécution à distance de commandes. Du coup, la situation est sans ambiguïté et le Cert-FR recommandait d’appliquer sans attendre le correctif proposé.

Il faut dire que le serveur de messagerie sortant (SMTP) Exim est particulièrement populaire, selon RiskIQ, il compte pour 57 % des serveurs de courriels installés et accessibles en ligne, sur Internet. Selon Shodan, il faut compter avec près de 5,5 millions d’instance à travers le monde, dont plus de 174 000 en France. Et selon Amit Serper, chercheur en sécurité, chez Cybereason, « quelqu’un exploite activement les serveurs Exim vulnérables », tout particulièrement pour « obtenir un accès root permanent sur les serveurs compromis, via ssh ». Et c’est déjà une seconde vague d’attaques ; une première avait été identifiée le 9 juin.

Pour Yonathan Klijnsma, chercheur chez RiskIQ, toutefois, il y a une bonne nouvelle : les administrateurs semblent appliquer en masse le correctif disponible. La version 4.92 d’Exim, absente d’Internet le 5 juin dernier, représenterait aujourd’hui plus de 70 % du parc installé, selon les données dont il dispose.

Le chercheur fournit toutefois la clé utilisée par les assaillants pour se garantir un accès ssh sur les serveurs compromis. De quoi vérifier que son serveur n’a pas été détourné avant l’application de la mise à jour.

People have been actively patching Exim servers the day the CVE-2019-10149 was published. Attackers have begun abusing the vulnerability as seen by @0xAmit (https://t.co/kRdeqbAvsW). Here's @RiskIQ's breakdown of observed Exim service versions for 4.8x and higher. Keep patching! pic.twitter.com/beodbOkKqz

— Yᴏɴᴀᴛʜᴀɴ Kʟɪᴊɴsᴍᴀ (@ydklijnsma) June 13, 2019

Mais les chiffres de Shodan ne donnent pas une image aussi positive. Selon ceux-ci, il faut encore compter avec près de 3,6 millions de serveurs Exim encore vulnérables exposés sur Internet, dont plus de 110 000 dans l’Hexagone. Une très vaste majorité de ces serveurs sont hébergés chez OVH. Illiad est également représenté de manière significative.