Vulnerabilità Exim: un racconto di azioni tempestive e di clienti SiteGround tenuti al sicuro

Immagina questo: essere a una festa, dare la buonanotte al proprio figlio, viaggiare in macchina: questo è ciò che stavano facendo tre dei nostri ingegneri della sicurezza quel fatidico sabato 30 settembre. All’improvviso, i loro telefoni hanno iniziato a squillare, interrompendo rispettivamente la musica della festa, il silenzio della cameretta dei bimbi e il ronzio dell’auto. È l’allerta di un problema critico di sicurezza con Exim, il server di posta utilizzato dal 56% di tutti i server di posta su internet, incluso quello di SiteGround. Nonostante le loro diverse situazioni, tutti e tre i nostri ingegneri della sicurezza hanno immediatamente interrotto i propri piani per gestire questa problematica – una testimonianza del nostro incrollabile impegno alla sicurezza.

Che cos’è Exim e perché dovremmo preoccuparcene?

Exim è come il postino del mondo digitale, responsabile della consegna delle tue email da un punto all’altro. Un problema con Exim potrebbe potenzialmente significare seri problemi per le tue email e non solo. Per darti un’idea delle dimensioni, Exim è il server di posta più popolare al mondo, utilizzato da oltre 342.000 server di posta. Si tratta di oltre il 56% di tutti i server di posta su internet. Naturalmente, è il software del server di posta su cui noi di SiteGround facciamo interamente affidamento per la consegna dei messaggi in uscita e della posta in arrivo per tutti i nostri clienti.

Dato che i servizi di posta elettronica sono una parte cruciale della nostra offerta di hosting, e sono utilizzati dalla maggior parte dei nostri clienti, lavoriamo costantemente per mantenere la sicurezza, l’erogabilità e l’affidabilità del nostro servizio email. Tutto inizia con un intenso processo di personalizzazione, che è il nostro approccio abituale a tutti software che utilizziamo, per assicurarci che soddisfino al meglio le esigenze dei nostri clienti, dandoci più controllo per mantenerli estremamente sicuri e sempre aggiornati.

Il problema di Exim e la risposta proattiva di SiteGround 

Il problema, contrassegnato come CVE-2023-42115, era in realtà una combinazione di sei diversi zero-day exploit contro Exim. Una vulnerabilità zero-day significa che tutti i server che utilizzano questa particolare configurazione sono immediatamente a rischio. Abbiamo ricevuto il report non appena è stato pubblicato e abbiamo immediatamente approfondito tutte e sei le problematiche per valutare il rischio per i nostri clienti.

La buona notizia è che, poiché personalizziamo pesantemente tutti i software sui nostri server, quelle particolari parti di Exim interessate non erano nemmeno utilizzate sui nostri server. Tuttavia, il nostro lavoro non si era fermato qui. Ecco un’analisi di tutti i problemi, del motivo per cui i clienti di SiteGround erano al sicuro e cosa abbiamo fatto per garantire che rimanessero tali.

Tre degli exploit di Exim segnalati riguardavano diversi tipi di autenticazione email, vale a dire SPA/NTLM e EXTERNAL. In poche parole, si occupano di dimostrare al server di posta chi sei e quindi di consentirti di inviare email. La nuova vulnerabilità significava che un utente malintenzionato poteva creare una richiesta speciale, utilizzare le falle di sicurezza nei meccanismi di autenticazione e ottenere l’accesso al server che esegue Exim. Inoltre, l’aggressore avrebbe potuto ottenere pieno accesso al server, non solo a Exim come server di posta, ma a tutti i dati che risiedono sul server. Sui server di SiteGround, tuttavia, non utilizziamo nessuno di questi metodi di autenticazione, quindi i clienti di SiteGround non sono stati compromessi.

Il quarto exploit era legato a un problema proxy ed era di natura molto simile, mentre il quinto problema risiedeva in una library chiamata “libspf2”, utilizzata per alcuni controlli relativi ai record SPF delle email. Dato che non utilizziamo proxy davanti ai nostri server di posta Exim su SiteGround, né utilizziamo questa library problematica, non siamo stati colpiti nemmeno da questo vettore di attacco.

L’ultimo problema riguardava il modo in cui le persone eseguono le ricerche DNS. Molte persone utilizzano semplicemente resolver DNS di terze parti e non possono essere sicuri che i resolver DNS convalidino i dati che ricevono. SiteGround utilizza i propri resolver DNS e convalidiamo i dati che riceviamo. Quindi anche questo non ci ha interessato.

Tutto sommato siamo stati fortunati, ma ci è voluto molto tempo per controllare e ricontrollare ognuno di quei fattori. E, naturalmente, siamo andati anche oltre.

Di solito, ci sono due modi per affrontare una vulnerabilità. Uno è valutare se e come questa ti tocca, e semplicemente lasciarla perdere se non interessa i tuoi sistemi. Ma il modo più intelligente per procedere è pensare al futuro e quindi, anche se una particolare vulnerabilità, o alcune di queste, non ti riguardano direttamente ora, è bene comunque essere proattivi nell’installazione di patch, nel caso in cui questa vulnerabilità si sviluppi e apra le porte a ulteriori exploit che potrebbero potenzialmente colpirti in una fase successiva.

Quindi questo è esattamente ciò che abbiamo fatto: nonostante i nostri server non fossero direttamente a rischio da nessuno dei vettori di questo particolare attacco, i nostri ingegneri non sono rimasti con le mani in mano. Oltre a controllare e testare meticolosamente tutti gli exploit per assicurarci che non influenzassero i server di SiteGround, non appena è stata rilasciata una nuova versione più sicura di Exim (versione 4.96.1), abbiamo immediatamente aggiornato tutti i nostri server di posta Exim. È il nostro modo per garantire la tua tranquillità e una testimonianza del nostro approccio proattivo alla sicurezza.

Per concludere

Ci auguriamo che questo post, dove appunto parliamo di un serio problema recente e reale con un software utilizzato dalla metà dei server su internet, ti aiuti a comprendere il nostro approccio alla sicurezza. Stai tranquillo, noi di SiteGround siamo sempre pronti a entrare in azione per risolvere qualsiasi potenziale problema che potrebbe interessare i tuoi dati. Ci impegniamo a mantenere i tuoi dati al sicuro e darti serenità. Se hai domande o dubbi, siamo qui per te. Grazie per essere rimasto con noi e facciamo un brindisi al tuo futuro sicuro e protetto con SiteGround.