435/66 (IT) ประจำวันจันทร์ที่ 2 ตุลาคม 2566
ผู้เชี่ยวชาญออกมาเตือนถึงช่องโหว่ระดับร้ายแรงแบบ Zero-day หมายเลข CVE-2023-42115 ( คะแนน CVSS 9.8 ) ในซอฟต์แวร์ Exim mail Transfer Agent (MTA) ทุกเวอร์ชัน เนื่องจากทำให้ผู้ไม่หวังดีสามารถใช้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้อง โดยการทำการ exploit ช่องโหว่ เพื่อเรียกใช้โค้ดจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่เปิดเผยบนอินเทอร์เน็ต
ช่องโหว่นี้เกิดจากปัญหาการเขียนนอกขอบเขตที่มีอยู่ในบริการ SMTP ซึ่งมีสาเหตุมาจากการขาดการตรวจสอบความ ถูกต้องของข้อมูลที่ผู้ใช้ให้มา ทำให้ผู้โจมตีระยะไกลสามารถรันโค้ดโดยอำเภอใจในการติดตั้ง Exim ที่ได้รับผลกระทบ ไม่จำเป็นต้องมีการรับรองความถูกต้องเพื่อใช้ประโยชน์จากช่องโหว่นี้ ซึ่งมีนักวิจัยออกมาเปิดเผยถึงช่องโหว่ดังกล่าวผ่านทาง ZDI เมื่อวันที่ 6 มิถุนายน 2022 และ ZDI รายงานช่องโหว่ดังกล่าวแก่ผู้ผลิตเมื่อวันที่ 14 มิถุนายน 2022 และเมื่อวันที่ 25 กันยายน 2023 ZDI ขอการอัปเดตและแจ้งให้ผู้ผลิตทราบว่าพวกเขาตั้งใจที่จะเปิดเผย Zero-day ต่อสาธารณะในวันที่ 27 กันยายน 2023 และทีมพัฒนายังไม่ได้แก้ไขช่องโหว่นี้ ซึ่งผ่านมาแล้วกว่าหนึ่งปี
แหล่งข่าว https://securityaffairs.com/151693/hacking/cve-2023-42115-exim-mail-transfer.html