Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Un imponente server rack nero domina il centro dell'immagine, con un display luminoso blu che riporta l'icona di una busta e la scritta "MAIL SERVER". L'unità è circondata da un vortice caotico di buste da lettere bianche e rosse che turbinano in uno spazio digitale oscuro. Tra le missive fluttuano minacciosi modelli 3D di virus rossi e icone di pericolo come teschi, simboli di biohazard e avvisi di "MALWARE". L'atmosfera è tesa e dinamica, rappresentando visivamente una massiccia ondata di cyberattacchi, spam e minacce informatiche che assediano un'infrastruttura di posta elettronica.

Basta un singolo byte errato per accedere a milioni di server di posta elettronica

17 Maggio 2026 07:28
In sintesi

Una vulnerabilità critica è stata scoperta nel server di posta Exim, che consente l'esecuzione di codice remoto senza autenticazione. La vulnerabilità è stata scoperta dal team XBOW e riguarda la gestione delle connessioni TLS tramite GnuTLS.

I server di posta elettronica raramente sono il fulcro di storie sensazionali sui bug di sicurezza, ma la recente analisi di XBOW sembra che invertano questa tendenza.

XBOW ha segnalato la scoperta agli sviluppatori di Exim il 1° maggio di quest’anno. Entro il 5 maggio, il team di progetto ha confermato la disponibilità di una correzione in un repository. Le distribuzioni sono state informate l’8 maggio. Ai manutentori dei pacchetti è stato concesso l’accesso ai dati il 10 maggio. Il 12 maggio, la vulnerabilità è stata pubblicata ufficialmente.

Al bug è stato assegnato l’identificativo CVE-2026-45185 e secondo gli autori del report, il problema riguarda la gestione delle connessioni TLS tramite GnuTLS, utilizzato in molte distribuzioni Debian, tra cui Ubuntu.

Advertising

Il team ha scoperto una vulnerabilità critica in Exim, uno dei server di posta elettronica più usati, la quale ha trasformato la settimana precedente alla sua divulgazione pubblica in un esperimento insolito. Esseri umani e un sistema di intelligenza artificiale hanno testato la fattibilità di sfruttare la vulnerabilità per eseguire codice in remoto.

L’errore si verifica nella fase di terminazione di una sessione TLS: Exim libera il buffer di trasmissione, ma il gestore BDAT annidato al suo interno può ancora ricevere dati e chiamare ungetc(). Di conseguenza, un byte viene scritto in un’area di memoria precedentemente liberata.

A prima vista, questa scrittura sembra debole: viene scritto in memoria solo un carattere di avanzamento riga (0x0a) o di ritorno a capo (0x0d). Tuttavia, anche un solo byte è stato sufficiente per compromettere Exim. A causa delle specificità dell’allocatore interno del server di posta, la corruzione potrebbe portare a un maggiore controllo della memoria e, in ultima analisi, all’esecuzione di codice remoto senza autenticazione.

Gli autori sottolineano che per attivare il bug non è necessaria quasi nessuna configurazione particolare del server, il che aumenta notevolmente la gravità del problema.

Una parte della storia riguarda l’intelligenza artificiale. XBOW Native è stato in grado di creare catene di exploit funzionanti prima senza ASLR e PIE, poi con ASLR abilitato ma senza PIE.

Advertising

In un caso, il sistema ha utilizzato tecniche tipiche delle prove CTF, tra cui un attacco alle strutture glibc e la sostituzione di file. Nel secondo caso, l’approccio era più simile alla storia reale di Exim: l’IA ha attaccato l’allocatore interno del server e ha ottenuto l’esecuzione di comandi tramite il meccanismo ACL.

Per la versione di produzione completa, i risultati sono stati più modesti. L’autore della parte dell’esperimento a livello umano è riuscito a far trapelare un indirizzo dello stack utilizzando un modello linguistico, ma non ha ottenuto un exploit completo. XBOW Native, nelle stesse condizioni, non ha nemmeno fatto trapelare un singolo indirizzo.

I risultati sono contrastanti: l’IA sta già accelerando l’analisi di codici complessi e contribuendo a trovare soluzioni innovative, ma lo sfruttamento indipendente di obiettivi reali richiede ancora la supervisione umana, la verifica delle ipotesi e una profonda comprensione del compito.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research