Censys предупреждава, че над 1,5 милиона екземпляра на агента за трансфер на поща (MTA) Exim не са защитени от критична уязвимост, която позволява на злонамерени лица да заобикалят филтрите за сигурност.
Проследен като CVE-2024-39929 и поправен от разработчиците на Exim в сряда, недостатъкът в сигурността засяга версиите на Exim до версия 4.97.1 включително.
Уязвимостта се дължи на неправилното обработване на многоредови имена на файлове в заглавието RFC2231, което може да позволи на отдалечени нападатели да доставят зловредни изпълними прикачени файлове в пощенските кутии на крайните потребители, като заобиколят механизма за защита, блокиращ разширението $mime_filename.
„Ако потребителят изтегли или стартира някой от тези злонамерени файлове, системата може да бъде компрометирана“, предупреди Censys, като добави, че „е наличен PoC, но все още не е известна активна експлоатация“.
„Към 10 юли 2024 г. Censys наблюдава 1 567 109 публично изложени сървъри на Exim, работещи с потенциално уязвима версия (4.97.1 или по-ранна), концентрирани предимно в САЩ, Русия, Канада и Източна Европа“, добави компанията.
Въпреки че получателите на имейли все още трябва да стартират зловредния прикачен файл, за да бъдат засегнати, недостатъкът позволява на хакерите да заобикалят проверките за сигурност въз основа на файловите разширения. Това им позволява да доставят в пощенските кутии на своите цели рискови файлове, които обикновено се блокират, като например изпълними файлове.
На администраторите, които не могат незабавно да обновят Exim, се препоръчва да ограничат отдалечения достъп до сървърите си от интернет, за да блокират входящите опити за експлоатация.
MTA сървърите, като Exim, често са мишена на атаки, тъй като почти винаги са достъпни през интернет, което ги прави лесни за намиране на потенциални точки за влизане в мрежата на целта.
Exim също така е MTA по подразбиране в Debian Linux и е най-популярният MTA софтуер в света, въз основа на проучване на пощенски сървъри от началото на този месец.
Според проучването над 59 % от 409 255 пощенски сървъри, достъпни в интернет по време на проучването, са използвали Exim, което представлява малко над 241 000 единици Exim.
Също така, според търсене в Shodan, над 3,3 милиона Exim сървъра понастоящем са изложени онлайн, повечето в САЩ, следвани от Русия и Нидерландия. Censys откри 6 540 044 публични пощенски сървъри онлайн, от които 4 830 719 (около 74 %) работят с Exim.
През май 2020 г. Агенцията за национална сигурност (АНС) разкри, че известната руска военна хакерска група Sandworm използва критичния недостатък CVE-2019-10149 в Exim (наречен The Return of the WIZard) поне от август 2019 г.
Неотдавна, през октомври, разработчиците на Exim закърпиха три нулеви дни, разкрити чрез инициативата Zero Day Initiative (ZDI) на Trend Micro, като един от тях (CVE-2023-42115) излага милиони сървъри Exim, изложени на интернет, на атаки pre-auth RCE.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.