„Censys“ perspėja, kad daugiau nei 1,5 milijono „Exim“ pašto siuntimo agento (MTA) egzempliorių nepataisyta dėl kritinio pažeidžiamumo, leidžiančio grėsmės veikėjams apeiti saugos filtrus.
Saugos trūkumas, pažymėtas kaip CVE-2024-39929 ir trečiadienį pataisytas Exim kūrėjų, turi įtakos Exim leidimams iki 4.97.1 versijos imtinai.
Pažeidžiamumas atsirado dėl neteisingo kelių eilučių RFC2231 antraščių failų pavadinimų analizavimo, dėl kurio nuotoliniai užpuolikai gali pristatyti kenkėjiškus vykdomuosius priedus į galutinių vartotojų pašto dėžutes, apeinant $mime_failo pavadinimas pratęsimo-blokavimo apsaugos mechanizmas.
„Jei vartotojas atsisiųstų arba paleistų vieną iš šių kenkėjiškų failų, sistema gali būti pažeista“, – perspėjo Censys ir pridūrė, kad „yra pasiekiamas PoC, bet aktyvus išnaudojimas dar nežinomas“.
„2024 m. liepos 10 d. „Censys“ pastebėjo 1 567 109 viešai atskleistus „Exim“ serverius, kuriuose veikia galimai pažeidžiama versija (4.97.1 ar senesnė), daugiausia JAV, Rusijoje ir Kanadoje“, – pridūrė bendrovė.
Nors el. pašto gavėjai vis tiek turės paleisti kenkėjišką priedą, kad būtų paveiktas, dėl klaidos grėsmės veikėjai gali apeiti saugos patikras, pagrįstas failų plėtiniais. Tai leidžia jiems pristatyti rizikingus failus, kurie paprastai yra blokuojami, pvz., vykdomuosius failus, į tikslinių asmenų pašto dėžutes.
Administratoriams, kurie negali iš karto atnaujinti Exim, patariama apriboti nuotolinę prieigą prie savo serverių iš interneto, kad būtų užblokuoti gaunami išnaudojimo bandymai.
Milijonai serverių buvo atskleisti internete
MTA serveriai, tokie kaip Exim, dažnai yra nukreipti į atakas, nes beveik visada pasiekiami internetu, todėl juos lengva rasti galimus įėjimo į taikinio tinklą taškus.
Exim taip pat yra numatytoji Debian Linux MTA ir yra populiariausia pasaulyje MTA programinė įranga, pagrįsta pašto serverio apklausa, atlikta anksčiau šį mėnesį.
Remiantis apklausa, daugiau nei 59% iš 409 255 pašto serverių, kuriuos buvo galima pasiekti internete tyrimo metu, veikė „Exim“, ty šiek tiek daugiau nei 241 000 „Exim“ atvejų.
Be to, pagal Shodan paiešką šiuo metu internete veikia daugiau nei 3,3 milijono „Exim“ serverių, dauguma jų yra Jungtinėse Valstijose, o po jų seka Rusija ir Nyderlandai. „Censys“ internete rado 6 540 044 viešuosius pašto serverius, iš kurių 4 830 719 (maždaug 74 %) veikia „Exim“.
Nacionalinio saugumo agentūra (NSA) 2020 m. gegužę atskleidė, kad liūdnai pagarsėjusi Rusijos karinė programišių grupė „Sandworm“ išnaudojo kritinį CVE-2019-10149 Exim trūkumą (vadinamą burtininko sugrįžimu) mažiausiai nuo 2019 m. rugpjūčio mėn.
Visai neseniai, spalio mėn., „Exim“ kūrėjai pataisė tris nulines dienas, atskleistas per „Trend Micro“ nulinės dienos iniciatyvą (ZDI), viena iš jų (CVE-2023-42115) atskleidė milijonams internetinių Exim serverių išankstinio autentifikavimo RCE atakoms.
