Vulnerabilitat crítica a Exim: els vostres servidors Linux estan segurs?

La seguretat del correu electrònic és un pilar de qualsevol infraestructura empresarial. Una notícia recent ha sacsejat el panorama de la ciberseguretat: una vulnerabilitat crítica a Exim, el popular agent de transferència de correu (MTA) que fan servir molts servidors Linux arreu del món. Ens referim a la CVE-2026-45185, coneguda com a «Dead.Letter», amb un risc significatiu d’execució remota de codi.

Entendre la vulnerabilitat: CVE-2026-45185 (Dead.Letter)

Exim, com a programari de codi obert molt estès per al correu en sistemes tipus Unix, és un objectiu atractiu per als atacants. Dead.Letter s’ha descrit com un defecte de tipus «use-after-free» que es produeix durant el processament del cos del missatge BDAT (Binary Data Transmission), quan les connexions TLS es gestionen amb la biblioteca GnuTLS. No totes les instal·lacions d’Exim queden exposades: cal construccions configurades específicament amb USE_GNUTLS=yes.

Mecanisme d’explotació

L’escenari, tot i ser específic, és preocupant per l’impacte potencial. Un atacant pot desencadenar la falla enviant una alerta TLS close_notify abans que finalitzi la transferència del cos BDAT i, a continuació, en la mateixa connexió TCP, un darrer byte en text clar. Aquesta seqüència pot portar Exim a escriure en un buffer de memòria ja alliberat durant el desmuntatge de la sessió TLS, amb corrupció de heap. Segons Federico Kirschbaum, autor del descobriment, escriure un sol byte de nova línia (\n) sobre les metadades de l’assignador de memòria d’Exim pot ser suficient per corrompre l’estructura interna i eventualment obtenir primitives d’execució de codi. La maniobra exigeix poca configuració al servidor, la qual cosa amplia la superfície d’atac.

Implicacions tècniques i de negoci

L’execució remota de codi en un servidor de correu pot permetre a un atacant:

• Accés complet al servidor: control del sistema, dades sensibles i credencials.
• Propagació de programari maliciós: ús del servidor compromès per enviar spam, phishing o malware, perdent reputació.
• Interrupció del servei: denegació de servei al correu i a les comunicacions crítiques.
• Exfiltració de dades: accés a correus confidencials, llistes de clients o secrets comercials.
• Punt de pivot: el servidor de correu com a trampolí cap a atacs més profunds a la xarxa interna.

Per a empreses que depenen d’Exim, la vulnerabilitat afecta continuïtat, privacitat i reputació.

Solució i mitigació

Exim ha corregit el problema a la versió 4.99.3. La solució assegura que la pila de processament d’entrada es reinicia correctament quan arriba una notificació de tancament TLS durant una transferència BDAT activa, evitant punters obsolets.

Accions immediates:

• Actualització prioritària: organitzacions amb Exim 4.97 a 4.99.2 i GnuTLS han d’actualitzar a 4.99.3 com més aviat millor. No hi ha mitigacions alternatives que substitueixin la correcció.
• Auditories periòdiques de correu: revisar configuracions, polítiques i pegats aplicats.
• Hardening de servidors Linux: eliminar serveis innecessaris, tallafocs adequats, mínim privilegi i segmentació, especialment a sistemes exposats a internet.
• Monitoratge i resposta: detectar comportaments anormal en servidors de correu i disposar d’un pla d’incidències clar.

Més enllà de la falla: una lliçó recurrent

No és el primer cop que Exim afronta use-after-free crítics. A finals del 2017 es va pegar una falla similar (CVE-2017-16943) al dimoni SMTP, també vinculada a execució remota de codi. El patró posa de manifest la necessitat de gestió rigorosa de pegats i vigilància constant en programari crític com els MTA. Esdeveniments recents, com els relacionats amb MOVEit Automation o Apache HTTP/2, recorden que els components d’infraestructura clau segueixen sent objectiu.

Com ITCS VIP pot ajudar-vos

A ITCS VIP ajudem a gestionar riscos en infraestructures crítiques:

• Auditories de correu electrònic: identificació de configuracions vulnerables i punts febles.
• Hardening de servidors Linux: millores alineades amb bones pràctiques per reduir la superfície d’atac.
• Gestió de vulnerabilitats i pegats: processos per identificar, prioritzar i aplicar correccions de seguretat.
• Monitoratge i resposta: solucions de monitoratge i suport en resposta a incidents.
• Consultoria en ciberseguretat: estratègia integral adaptada a l’organització i a l’actual panorama d’amenaces.

Conclusió

Dead.Letter recorda que cap programari, per molt madur que sigui, està lliure de riscos. La proactivitat, les actualitzacions constants i la defensa en profunditat són essencials per protegir els actius digitals. No subestimeu el cost d’un compromís del correu: actueu amb decisió per protegir infraestructura i dades.