Vulnerabilidad de correo de Exim: una historia de Swift Action y clientes de SiteGround no afectados

Imagínate esto: una fiesta, la rutina de dormir a un niño pequeño, un viaje por carretera. Esto es lo que tres de nuestros ingenieros de seguridad estaban haciendo ese sábado 30 de septiembre. Cuando de repente, sus teléfonos suenan al mismo tiempo, aunque lejos el uno del otro, cortando el ruido de la fiesta, el silencio de la rutina y el zumbido de la carretera, respectivamente. Es un informe de un problema de seguridad crítico con Exim, el servidor de correo utilizado por el 56% de todos los servidores de correo en internet, incluido SiteGround. Nuestros tres ingenieros de seguridad cortaron sus planes de inmediato para dar una respuesta. Un testimonio de nuestro compromiso inquebrantable con la seguridad.

¿Qué es Exim y por qué debería importarnos?

Exim es como el cartero del mundo digital, responsable de entregar tus correos de un punto a otro. Un problema con Exim podría significar potencialmente serios problemas para tus correos electrónicos, y no solo eso. Para darte una idea de la escala, Exim es el servidor de correo más popular del mundo, utilizado por más de 342.000 servidores de correo. Eso es más del 56% de todos los servidores de correo en internet. Es el software de servidor de correo en el que confiamos completamente en SiteGround para la entrega de mensajes salientes y correo entrante para todos nuestros clientes.

Dado que los servicios de correo electrónico son una parte crucial de nuestra oferta de hosting, utilizado por la mayoría de nuestros clientes, estamos trabajando constantemente para mantener la seguridad, entregabilidad y confiabilidad de nuestro correo electrónico. Todo comienza con un proceso de personalización, que es nuestro enfoque habitual para todo el software que usamos para asegurarnos de que cumple mejor con las necesidades de nuestros clientes, mientras que nos da más control para mantenerlo más seguro y siempre actualizado.

El problema Exim y la respuesta proactiva de SiteGround

El problema, etiquetado como CVE-2023-42115, era de hecho una combinación de seis exploits de día cero diferentes contra Exim. Un exploit de día cero significa que todos los servidores que usan esta configuración en particular están en riesgo inmediato. Recibimos el informe tan pronto como se emitió e inmediatamente nos sumergimos en los seis problemas para evaluar el riesgo para nuestros clientes.

La buena noticia era que, dado que personalizamos en gran medida todo el software en nuestros servidores, estas partes particulares de Exim que se vieron afectadas, ni siquiera se usan en nuestros servidores. Sin embargo, nuestro trabajo no se detuvo ahí. Aquí tienes un desglose de todos los problemas, por qué los clientes de SiteGround estaban seguros y qué hemos hecho para asegurarnos de que siga siendo así.

Tres de los exploits de Exim reportados están relacionados con diferentes tipos de autenticación de correo electrónico, es decir, SPA/NTLM y autenticación EXTERNA. En pocas palabras, se ocupan de probar al servidor de correo quién eres y luego permitirte enviar correos electrónicos. La nueva vulnerabilidad significaba que un atacante podía crear una solicitud especial, usar los agujeros de seguridad en los mecanismos de autenticación y obtener acceso al servidor que ejecuta Exim. Incluso más que eso, el atacante podría obtener acceso completo al servidor, no solo Exim como un servidor de correo, sino todos los datos que residen en el servidor. En los servidores de SiteGround, sin embargo, no usamos ninguno de estos métodos de autenticación, por lo que los clientes de SiteGround no se vieron afectados. 

El cuarto exploit estaba relacionado con un problema de proxy, y era de naturaleza muy similar, y el quinto problema residía en una biblioteca llamada “libspf2”, utilizada para ciertas comprobaciones relacionadas con los registros SPF de correo electrónico. Dado que no usamos proxies frente a nuestros servidores de correo Exim en SiteGround, ni usamos la biblioteca problemática, no nos vimos afectados por este vector del ataque tampoco.

El último problema estaba relacionado con la forma en que las personas realizan las búsquedas de DNS. Muchas personas simplemente usan resolutores de DNS de terceros y no pueden estar seguros si los resolutores de DNS validan los datos que reciben. SiteGround usa nuestros propios resolutores DNS y nosotros validamos los datos que recibimos. Así que esto no nos afectó tampoco.

En general, tuvimos suerte con la mayoría de los vectores del ataque, pero nos llevó una cantidad considerable de tiempo comprobar dos y tres veces cada uno de esos puntos. Y, por supuesto, hemos ido más allá. 

Por lo general, hay dos formas de abordar una vulnerabilidad: evalúas si te afecta y cómo, y si no lo hace, puedes simplemente pasarla por alto y dejarla a un lado. Sin embargo, la forma más inteligente de hacerlo es pensar en el futuro, e incluso si una vulnerabilidad en particular, o varias de ellas, no te afectan directamente, ser proactivo sobre la instalación de los parches solo para estar seguro de que en caso de que se desarrolle no abra las puertas a más exploits que podrían afectarte en una etapa posterior. 

Así que esto es exactamente lo que hicimos. A pesar de no estar directamente en riesgo por ninguno de los vectores de este ataque en particular, nuestros ingenieros de seguridad no se quedaron de brazos cruzados. Además de comprobar y probar meticulosamente todos los exploits para asegurarnos de que no afectan a los servidores de SiteGround, tan pronto como se lanzó una nueva versión más segura de Exim (versión 4.96.1), actualizamos inmediatamente todos nuestros servidores de correo Exim. Es nuestra forma de garantizar tu tranquilidad y un testimonio de nuestro enfoque proactivo de la seguridad.

Concluyendo

Esperamos que este artículo te ayude a comprender nuestro enfoque en seguridad a través de la lente de un problema grave de la vida real y más reciente con un software utilizado por la mitad de los servidores en internet. Ten la seguridad de que en SiteGround, siempre estamos listos para actuar ante cualquier problema potencial que pueda afectar tus datos. Nos comprometemos a mantener tus datos seguros y tu mente tranquila. Si tienes alguna pregunta o inquietud, estamos aquí para ti. Gracias por seguir con nosotros, y seguiremos velando por tu seguridad en SiteGround.