Η Censys προειδοποιεί ότι πάνω από 1,5 εκατομμύρια περιπτώσεις Exim
mail
transfer agent (MTA) δεν έχουν επιδιορθωθεί έναντι μιας κρίσιμης
ευπάθεια
ς που επιτρέπει στους παράγοντες απειλών να παρακάμπτουν τα φίλτρα ασφαλείας.
Παρακολούθηση ως
CVE-2024-39929
και διορθώθηκε από τους προγραμματιστές της Exim
Τετάρτη
το ελάττωμα ασφαλείας επηρεάζει τις εκδόσεις Exim έως και την έκδοση 4.97.1.
Η ευπάθεια οφείλεται στη λανθασμένη ανάλυση των ονομάτων αρχείων κεφαλίδας RFC2231 πολλαπλών γραμμών, η οποία μπορεί να επιτρέψει στους απομακρυσμένους εισβολείς να παραδίδουν κακόβουλα εκτελέσιμα συνημμένα στα γραμματοκιβώτια των τελικών χρηστών, παρακάμπτοντας το
$mime_filename
μηχανισμός προστασίας επέκτασης-μπλοκαρίσματος.
“Εάν ένας χρήστης κατέβαζε ή εκτελούσε ένα από αυτά τα κακόβουλα αρχεία, το σύστημα θα μπορούσε να παραβιαστεί”, προειδοποίησε η Censys, προσθέτοντας ότι “ένα PoC είναι διαθέσιμο, αλλά δεν είναι γνωστή ακόμη ενεργή εκμετάλλευση.”
«Από τις 10 Ιουλίου 2024, η Censys παρατηρεί 1.567.109 δημόσια εκτεθειμένους διακομιστές Exim που εκτελούν μια δυνητικά ευάλωτη έκδοση (4.97.1 ή παλαιότερη), επικεντρωμένοι κυρίως στις
Ηνωμένες Πολιτείες
, τη Ρωσία και τον Καναδά», η εταιρεία
προστέθηκε
.
Ενώ οι παραλήπτες email θα πρέπει ακόμα να εκκινήσουν το κακόβουλο συνημμένο για να επηρεαστούν, το ελάττωμα επιτρέπει στους παράγοντες απειλών να παρακάμπτουν τους ελέγχους ασφαλείας που βασίζονται σε επεκτάσεις αρχείων. Αυτό τους επιτρέπει να παραδίδουν επικίνδυνα αρχεία που είναι συνήθως μπλοκαρισμένα, όπως εκτελέσιμα, στα γραμματοκιβώτια των στόχων τους.
Συνιστάται στους διαχειριστές που δεν μπορούν να αναβαθμίσουν αμέσως το Exim να περιορίσουν την απομακρυσμένη πρόσβαση στους διακομιστές τους από το Διαδίκτυο για να αποκλείσουν τις εισερχόμενες προσπάθειες εκμετάλλευσης.
Εκατομμύρια διακομιστές εκτίθενται στο διαδίκτυο
Οι διακομιστές MTA, όπως ο Exim, στοχοποιούνται συχνά σε επιθέσεις, επειδή είναι σχεδόν πάντα προσβάσιμοι μέσω του Διαδικτύου, καθιστώντας τους εύκολο να βρουν πιθανά σημεία εισόδου στο δίκτυο ενός στόχου.
Το Exim είναι επίσης το προεπιλεγμένο Debian Linux MTA και είναι το πιο δημοφιλές λογισμικό MTA στον κόσμο, που βασίζεται σε α
έρευνα διακομιστή αλληλογραφίας
από τις αρχές αυτού του μήνα.
Σύμφωνα με την
έρευνα
, πάνω από το 59% των 409.255 διακομιστών αλληλογραφίας που ήταν προσβάσιμοι στο Διαδίκτυο κατά τη διάρκεια της έρευνας εκτελούσαν το Exim, αντιπροσωπεύοντας μόλις περισσότερες από 241.000 περιπτώσεις Exim.
Επίσης, ανά α
Αναζήτηση Shodan
, πάνω από 3,3 εκατομμύρια διακομιστές Exim είναι επί του παρόντος εκτεθειμένοι στο διαδίκτυο, οι περισσότεροι στις Ηνωμένες Πολιτείες, ακολουθούμενες από τη Ρωσία και την Ολλανδία. Η Censys βρήκε 6.540.044 διακομιστές αλληλογραφίας που αντιμετωπίζουν το κοινό στο διαδίκτυο, 4.830.719 (περίπου το 74%) εκτελούν το Exim.
Διακομιστές Exim προσβάσιμοι στο διαδίκτυο (Shodan)
Η Υπηρεσία Εθνικής Ασφάλειας (
NSA
) αποκάλυψε τον Μάιο του 2020 ότι η διαβόητη ρωσική στρατιωτική ομάδα hacking Sandworm εκμεταλλεύεται ένα κρίσιμο ελάττωμα του CVE-2019-10149 Exim (με το όνομα The Return of the WIZard) τουλάχιστον από τον Αύγουστο του 2019.
Πιο πρόσφατα, τον Οκτώβριο, οι προγραμματιστές της Exim επιδιορθώθηκαν τρεις ημέρες μηδέν που αποκαλύφθηκαν μέσω του Zero Day Initiative (ZDI) της Trend Micro, μία από αυτές (CVE-2023-42115) εκθέτοντας εκατομμύρια διακομιστές Exim που είχαν εκτεθεί στο Διαδίκτυο σε επιθέσεις RCE πριν από την εξουσιοδότηση.
VIA:
bleepingcomputer.com
0