Vulnérabilité du serveur de messagerie Exim : Une histoire d'action rapide et de clients SiteGround non affectés

Imaginez : une fête animée, la routine du coucher d’un enfant en bas âge, un voyage en voiture – c’est ce que trois de nos ingénieurs en sécurité étaient en train de faire ce samedi 30 septembre. Soudain, leurs téléphones émettent un bip à l’unisson, même s’ils sont très éloignés l’un de l’autre, coupant le bruit de la fête, le silence de la chambre d’enfant et le bourdonnement de l’autoroute, respectivement. Il s’agit d’un rapport sur un problème de sécurité critique avec Exim, le serveur de messagerie utilisé par 56% de tous les serveurs de messagerie sur Internet, y compris celui de SiteGround. Malgré leurs réglages différents, nos trois ingénieurs de sécurité ont immédiatement coupé leurs plans, appelés pour une réponse – un testament de notre engagement inébranlable à la sécurité.

Qu’est-ce que l’Exim et pourquoi devrions-nous nous en préoccuper ?

Exim est comme le facteur du monde numérique, responsable de la livraison de vos e-mails d’un point à un autre. Un problème avec Exim pourrait signifier de sérieux ennuis pour vos e-mails, et pas seulement. Pour vous donner une idée de l’ampleur du problème, Exim est le serveur de messagerie le plus populaire au monde, utilisé par plus de 342 000 serveurs de messagerie, soit plus de 56 % de tous les serveurs de messagerie sur internet. Naturellement, c’est le logiciel de serveur de messagerie sur lequel SiteGround compte entièrement pour la livraison de messages sortants et de courrier entrant pour tous nos clients.

Étant donné que les services de messagerie sont une partie cruciale de notre offre d’hébergement, utilisée par la majorité de nos clients, nous travaillons constamment au maintien de la sécurité, de la délivrabilité et de la fiabilité de notre messagerie. Tout commence par un lourd processus de personnalisation, ce qui est notre approche habituelle pour tous les logiciels que nous utilisons afin de nous assurer qu’ils répondent mieux aux besoins de nos clients, tout en nous donnant plus de contrôle pour les garder très sécurisés et toujours à jour.

Le problème de l’Exim et la réponse proactive de SiteGround

Le problème, désigné sous le nom de CVE-2023-42115, était en fait une combinaison de six attaques de type “zero-day” contre Exim. Une attaque de type “zero-day” signifie que tous les serveurs utilisant cette configuration particulière sont immédiatement exposés à un risque. Nous avons reçu le rapport dès sa publication et nous nous sommes immédiatement penchés sur les six problèmes afin d’évaluer le risque pour nos clients.

La bonne nouvelle est que, comme nous personnalisons fortement tous les logiciels sur nos serveurs, ces parties particulières d’Exim qui ont été affectées ne sont même pas utilisées sur nos serveurs. Cependant, notre travail ne s’est pas arrêté là. Voici une liste de tous les problèmes, les raisons pour lesquelles les clients de SiteGround étaient en sécurité et ce que nous avons fait pour nous assurer qu’il en soit toujours ainsi.

Trois des attaques d’Exim signalées concernaient différents types d’authentification de l’e-mail, à savoir SPA/NTLM et EXTERNAL auth. En d’autres termes, il s’agit de prouver au serveur de messagerie qui vous êtes et de vous autoriser à envoyer des e-mails. La nouvelle vulnérabilité signifie qu’un pirate peut élaborer une requête spéciale, utiliser les failles de sécurité des mécanismes d’authentification et accéder au serveur qui exécute Exim. Plus encore, l’attaquant pouvait obtenir un accès complet au serveur – non seulement à Exim en tant que serveur de messagerie, mais aussi à toutes les données résidant sur le serveur. Sur les serveurs SiteGround, cependant, nous n’utilisons aucune de ces méthodes d’authentification, de sorte que les clients SiteGround n’ont pas été affectés.

Le quatrième problème était lié à un problème de proxy et était de nature très similaire, et le cinquième problème résidait dans une bibliothèque appelée “libspf2”, utilisée pour certaines vérifications liées aux enregistrements SPF des e-mails. Comme nous n’utilisons pas de proxy devant nos serveurs de messagerie Exim chez SiteGround, et que nous n’utilisons pas non plus la bibliothèque problématique, nous n’avons pas été affectés par ce vecteur d’attaque non plus.

Le dernier problème est lié à la manière dont les gens effectuent les recherches DNS. Beaucoup de gens utilisent des résolveurs DNS tiers et ne peuvent pas être sûrs que les résolveurs DNS valident les données qu’ils reçoivent. SiteGround utilise ses propres résolveurs DNS et nous validons les données que nous recevons. Nous n’avons donc pas été affectés par ce problème.

Dans l’ensemble, nous avons eu de la chance pour la plupart des vecteurs de l’attaque, mais il nous a fallu beaucoup de temps pour vérifier doublement et triplement chacun de ces points. Et, bien sûr, nous sommes allés plus loin.

En général, il y a deux façons d’aborder une vulnérabilité : vous évaluez si et comment elle vous affecte, et si ce n’est pas le cas, vous pouvez simplement y renoncer et ne pas vous en préoccuper. La façon la plus intelligente de procéder consiste à anticiper et, même si une vulnérabilité particulière, ou un certain nombre d’entre elles, ne vous affecte pas directement, à installer les correctifs de manière proactive, par sécurité, au cas où la vulnérabilité se développerait et ouvrirait la voie à d’autres attaques qui pourraient potentiellement vous affecter à un stade ultérieur.

C’est exactement ce que nous avons fait – bien que nous ne soyons pas directement menacés par l’un des vecteurs de cette attaque particulière, nos ingénieurs en sécurité ne sont pas restés les bras croisés. En plus de vérifier et de tester méticuleusement toutes les attaques pour s’assurer qu’elles n’affectent pas les serveurs SiteGround, dès qu’une nouvelle version plus sûre d’Exim a été publiée (version 4.96.1), nous avons immédiatement mis à jour tous nos serveurs de messagerie Exim. C’est notre façon d’assurer votre tranquillité d’esprit et un témoignage de notre approche proactive de la sécurité.

Conclusion

Nous espérons que cet article vous aidera à comprendre notre approche de la sécurité à travers l’objectif d’un problème sérieux réel et récent avec un logiciel utilisé par la moitié des serveurs sur Internet. Rassurez-vous, chez SiteGround, nous sommes toujours prêts à intervenir pour tout problème potentiel qui pourrait affecter vos données. Nous nous engageons à assurer la sécurité de vos données et à vous rassurer. Si vous avez des questions ou des inquiétudes, nous sommes là pour vous. Nous vous remercions de votre fidélité et vous souhaitons de rester en sécurité avec SiteGround.