Exim corrige fallo crítico Dead.Letter en servidores Linux

Exim ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad crítica que podría permitir corrupción de memoria y potencial ejecución remota de código (RCE) en servidores de correo electrónico basados en sistemas Unix y Linux.

La falla, identificada como CVE-2026-45185 y denominada "Dead.Letter", afecta específicamente al procesamiento de conexiones TLS utilizando GnuTLS y representa una amenaza significativa para miles de servidores de correo expuestos a Internet.

El problema fue descubierto por Federico Kirschbaum, jefe del Laboratorio de Seguridad de XBOW, quien alertó que se trata de uno de los errores más graves encontrados en Exim en los últimos años.

¿Qué es Exim y por qué esta vulnerabilidad es tan peligrosa?

Exim es uno de los Agentes de Transferencia de Correo (MTA) más utilizados en entornos Linux y Unix. Su función principal es recibir, enrutar y entregar correos electrónicos entre servidores y clientes.

Debido a su amplia adopción en infraestructuras empresariales, proveedores de hosting y plataformas de correo corporativo, cualquier vulnerabilidad crítica en Exim representa un objetivo altamente atractivo para ciberdelincuentes y actores maliciosos.

La nueva vulnerabilidad Dead.Letter afecta específicamente al manejo de mensajes BDAT dentro de conexiones TLS gestionadas por GnuTLS. El fallo puede derivar en corrupción del heap y abrir la puerta a ataques de ejecución remota de código.

Cómo funciona la vulnerabilidad CVE-2026-45185

CVSS=9.8

La vulnerabilidad Dead.Letter es un error de tipo use-after-free (uso después de liberación), una clase de fallos extremadamente peligrosa en seguridad informática porque permite acceder o modificar memoria que ya fue liberada por el sistema.

El problema ocurre durante el procesamiento del cuerpo de mensajes BDAT cuando un atacante manipula el cierre de una conexión TLS.

Según explicó Exim en su aviso oficial, la explotación se desencadena mediante la siguiente secuencia:

• El atacante establece una conexión TLS con el servidor Exim.
• Utiliza la extensión SMTP CHUNKING mediante comandos BDAT.
• Envía una alerta TLS close_notify antes de completar la transferencia del mensaje.
• Posteriormente transmite un byte adicional en texto claro utilizando la misma conexión TCP.

Esta combinación provoca que Exim intente escribir datos en un búfer de memoria previamente liberado durante el cierre de la sesión TLS.

Corrupción de heap y posible ejecución remota de código

El investigador Federico Kirschbaum detalló que el problema se origina cuando Exim libera el búfer TLS, pero una rutina BDAT anidada continúa procesando datos entrantes y termina ejecutando la función ungetc().

Esto provoca que un carácter sea escrito en una región de memoria ya liberada.

Impacto técnico de la vulnerabilidad

La escritura sobre memoria liberada corrompe los metadatos internos del asignador de memoria (heap allocator), permitiendo potencialmente que un atacante:

• Manipule estructuras internas de memoria
• Obtenga primitivas de lectura y escritura arbitrarias
• Escale la explotación hacia ejecución remota de código
• Comprometa completamente el servidor de correo

XBOW calificó la vulnerabilidad como "uno de los bugs de mayor calibre" descubiertos en Exim hasta la fecha debido a la facilidad de activación y al alto impacto potencial.

Versiones afectadas de Exim

La vulnerabilidad afecta a todas las versiones de Exim desde:

• Exim 4.97
• Hasta Exim 4.99.2 inclusive

Sin embargo, existe una condición importante: únicamente son vulnerables las compilaciones que utilizan GnuTLS.

Sistemas no afectados

Las implementaciones compiladas con otras bibliotecas TLS, como:

• OpenSSL
• LibreSSL

no se ven afectadas por CVE-2026-45185.

Esto limita parcialmente el alcance del problema, aunque numerosos servidores Linux utilizan GnuTLS por defecto en determinadas distribuciones.

Exim publica la versión 4.99.3 para corregir Dead.Letter

Los desarrolladores de Exim solucionaron el problema en la versión 4.99.3, recomendando a todos los administradores actualizar inmediatamente.

La corrección implementada garantiza que la pila de procesamiento de entrada se reinicie adecuadamente cuando se recibe una señal close_notify durante una transferencia BDAT activa.

Con ello se evita el uso de punteros obsoletos y la escritura en regiones de memoria liberadas.

No existen mitigaciones temporales

Uno de los aspectos más preocupantes es que actualmente no existen mitigaciones efectivas para bloquear completamente la vulnerabilidad sin aplicar el parche oficial.

Por esta razón, los expertos recomiendan:

• Actualizar Exim inmediatamente
• Verificar si el servidor utiliza GnuTLS
• Auditar registros SMTP sospechosos
• Monitorizar actividad BDAT anómala
• Restringir acceso SMTP cuando sea posible

Relación con vulnerabilidades críticas anteriores en Exim

No es la primera vez que Exim enfrenta graves problemas de seguridad relacionados con comandos BDAT y corrupción de memoria.

En 2017, Exim corrigió la vulnerabilidad:

• CVE-2017-16943
• CVSS=9.8

Ese fallo también era un error use-after-free en el demonio SMTP y permitía a atacantes no autenticados ejecutar código remoto mediante comandos BDAT especialmente diseñados.

La similitud entre ambos problemas demuestra que el procesamiento de transferencias SMTP fragmentadas sigue siendo una superficie crítica de ataque dentro de Exim.

Riesgos para empresas y proveedores de hosting

La explotación exitosa de CVE-2026-45185 podría tener consecuencias severas para organizaciones que dependen de Exim como servidor de correo principal.

Entre los riesgos destacan:

• Robo de información confidencial
• Compromiso total del servidor
• Intercepción de correos electrónicos
• Distribución de malware
• Escalada lateral dentro de redes corporativas
• Uso del servidor para campañas de spam o phishing

Dado que Exim se encuentra ampliamente implementado en servidores Linux conectados a Internet, es probable que los atacantes comiencen rápidamente a desarrollar exploits funcionales tras la divulgación pública del fallo.

Dead.Letter evidencia la creciente amenaza sobre infraestructuras de correo

La vulnerabilidad Dead.Letter vuelve a poner de manifiesto que los servidores de correo continúan siendo uno de los objetivos prioritarios para los ciberdelincuentes.

Los MTAs representan componentes críticos dentro de las infraestructuras empresariales y cualquier vulnerabilidad explotable puede convertirse en una puerta de entrada para ataques más amplios.

La rápida aplicación de parches y la supervisión constante de servicios expuestos a Internet siguen siendo medidas fundamentales para reducir el riesgo de compromiso.

Con la publicación de Exim 4.99.3, los administradores de sistemas Linux tienen ahora una ventana limitada para actualizar antes de que comiencen los intentos masivos de explotación de CVE-2026-45185 en entornos reales.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login