Une faille critique dans les serveurs de messagerie Exim.

Une faille critique dans les serveurs de messagerie Exim.

Des millions de serveurs de messagerie Exim exposés aux attaques RCE Zero Day. Une vulnérabilité critique de type Zero Day dans toutes les versions du logiciel Exim Mail Transfer Agent (MTA) peut permettre à des attaquants non authentifiés d’obtenir l’exécution de code à distance (RCE) sur des serveurs exposés à Internet. Trouvé par un chercheur en sécurité anonyme et divulgué via l’Initiative Zero Day (ZDI) de Trend Micro, le bug de sécurité (CVE-2023-42115) est dû à une faiblesse d’écriture hors limites trouvée dans le service SMTP.

Déjà en 2019, les serveurs de messagerie Exim avaient déjà été visés par de multiples attaques. Plus de la moitié des serveurs de messagerie Internet avaient fait l’objet d’attaques de pirates via la faille de sécurité CVE-2019-10149. Une vulnérabilité pouvant affecter plusieurs millions d’installations et dont le code d’attaque était disponible publiquement sur internet..

Exim est un agent de transfert de messages (MTA) développé par l’Université de Cambridge pour être utilisé sur les systèmes Unix connectés à Internet. Il s’agit d’un logiciel open source largement utilisé comme alternative à Sendmail. Il s’agit du MTA par défaut dans les distributions Debian et le plus populaire sur Internet selon l’enquête MX Mail Server, publiée par SecuritySpace en 2019, avec un taux d’installation de 57 %.

CVE-2023-42115 : Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur les installations affectées d’Exim. L’authentification n’est pas requise pour exploiter cette vulnérabilité. La faille spécifique existe au sein du service SMTP sur le port TCP 25. Un manque de validation de l’utilisateur peut entraîner une écriture au-delà de la fin d’un tampon.

Multiples vulnérabilités dans Exim. Le 27 septembre 2023, Zero Day Initiative (ZDI) a publié six avis de sécurité concernant des vulnérabilités de type zéro-jour affectant les versions antérieures à 4.96.1 ou 4.97 de l’agent de transfert de courriels (Mail Transfer Agent ou MTA) Exim. Le 1er octobre 2023, l’éditeur a publié un avis de sécurité contenant les détails des six vulnérabilités découvertes par ZDI.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Les vulnérabilités Zero-day représentent l'une des menaces les plus sérieuses en informatique. Ces failles, encore inconnues des développeurs et des utilisateurs, sont exploitées par les cybercriminels avant qu'un correctif puisse être développé. L'impact peut être dévastateur, permettant aux attaquants d'accéder à des données sensibles, de prendre le contrôle de systèmes informatiques ou de propager des logiciels malveillants.

Les attaques Zero-day sont difficiles à anticiper et à contrer, mettant en lumière l'importance de la surveillance constante des systèmes, de l'application rapide des correctifs et de la mise en place de mesures de sécurité robustes pour atténuer les risques.

Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.


Exim est un serveur de messagerie électronique utilisé sur de nombreux systèmes de type UNIX. La première version a été écrite en 1995 par Philip Hazel pour le service informatique de l'Université de Cambridge : le nom signifiait alors EXperimental Internet Mailer.  Exim est un agent de transfert de messages (MTA) développé à l'origine à l' Université de Cambridge pour être utilisé sur les systèmes Unix connectés à Internet. Il est disponible gratuitement selon les termes de la licence publique générale GNU. Dans le style, il est similaire à Smail 3, mais ses fonctionnalités sont plus générales.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut