1,5 millioner mailservere er sårbare med Kritisk Exim-sårbarhed

Censys advarer om, at over 1,5 millioner Exim mail transfer agent (MTA) instanser er upatchede mod en kritisk sårbarhed, der lader trusselsaktører omgå sikkerhedsfiltre. Sårbarheden, sporet som CVE-2024-39929 og patchet af Exim-udviklerne onsdag, påvirker Exim-versioner op til og inklusive 4.97.1.

Fejlen skyldes forkert parsing af multiline RFC2231 header filnavne, hvilket gør det muligt for fjernangribere at levere ondsindede eksekverbare vedhæftede filer til slutbrugeres mailbokse ved at omgå $mime_filename udvidelses-blokering beskyttelsesmekanismen.

“Hvis en bruger downloader eller kører en af disse ondsindede filer, kan systemet kompromitteres,” og tilføjer, at “en PoC er tilgængelig, men der er endnu ikke kendt nogen aktiv udnyttelse.”

Det advarer Censys imod.

Så udbredt er sårbarheden jf. Shodon.

Udbredelse og anbefalinger

Den 10. juli 2024 observerede Censys 1.567.109 offentligt eksponerede Exim-servere, der kører en potentielt sårbar version (4.97.1 eller tidligere), primært koncentreret i USA, Rusland og Canada. Selvom e-mailmodtagere stadig skal åbne den ondsindede vedhæftede fil for at blive påvirket, tillader fejlen trusselsaktører at omgå sikkerhedskontroller baseret på filudvidelser. Dette muliggør levering af risikofyldte filer, som normalt ville blive blokeret, såsom eksekverbare filer.

Administratoren, der ikke kan opgradere Exim med det samme, anbefales at begrænse eller fjerne fjernadgang til deres servere fra internettet for at blokere indkommende udnyttelsesforsøg.

Millioner af servere udsat online

MTA-servere, såsom Exim, er ofte mål for angreb, fordi de næsten altid er tilgængelige via internettet, hvilket gør dem til nemme indgangspunkter til et målrettet netværk. Exim er også standard MTA i Debian Linux og er verdens mest populære MTA-software ifølge en mailserverundersøgelse fra tidligere denne måned.

Ifølge undersøgelsen kørte over 59% af de 409.255 mailservere, der var tilgængelige på internettet under undersøgelsen, Exim, hvilket repræsenterer lidt over 241.000 Exim-instansser.

Når vi ser på Shodan-søgninger vises, at over 3,3 millioner Exim-servere i øjeblikket er eksponeret online, flest i USA, efterfulgt af Rusland og Nederlandene. Censys fandt 6.540.044 offentligt tilgængelige mailservere online, hvoraf 4.830.719 (cirka 74%) kørte Exim.

Historiske sårbarheder jf. NSA

Den Nationale Sikkerhedsagentur (NSA) afslørede i maj 2020, at den berygtede russiske militære hackinggruppe Sandworm har udnyttet en kritisk CVE-2019-10149 Exim-fejl (kaldet The Return of the WIZard) siden mindst august 2019. Mere for nylig, i oktober, patcherede Exim-udviklerne tre zero-days afsløret gennem Trend Micro’s Zero Day Initiative (ZDI), hvoraf den ene (CVE-2023-42115) eksponerede millioner af internet-eksponerede Exim-servere for pre-auth RCE-angreb.

Kilde: ICARE.DK
Fotokredit: stock.adobe.com
Personer/Firmaer/Emner: #Exim, #CVE202439929, #MailServer, #Sikkerhed, #MTA
Copyrights: Ⓒ 2024 Copyright by ICARE.DK – kan deles ved aktivt link til denne artikel.