Censys, tehdit aktörlerinin güvenlik filtrelerini atlamasına izin veren kritik bir güvenlik açığına karşı 1,5 milyondan fazla EXIM Posta Transfer Acentesi (MTA) örneklerinin açılmadığı konusunda uyarıyor.
CVE-2024-39929 olarak izlenen ve Çarşamba günü EXIM geliştiricileri tarafından yamalanan güvenlik kusuru, EXIM'in 4.97.1 sürümüne kadar sürümlerini etkiler.
Güvenlik açığı, uzaktan saldırganların $ mime_filename uzantısı engelleme koruma mekanizmasını atlatarak son kullanıcıların posta kutularına kötü niyetli yürütülebilir ekleri teslim etmesine izin verebilecek çok satırlı RFC2231 başlık dosya adlarının yanlış ayrıştırılmasından kaynaklanmaktadır.
"Bir kullanıcı bu kötü amaçlı dosyalardan birini indirecek veya çalıştıracaksa, sistem tehlikeye atılabilir," diye uyardı Censys, "bir POC mevcuttur, ancak henüz aktif bir sömürü bilinmiyor."
Şirket, "10 Temmuz 2024 itibariyle Censys, çoğunlukla ABD, Rusya ve Kanada'da yoğunlaşan potansiyel olarak savunmasız bir versiyon (4.97.1 veya daha önce) çalıştıran 1.567.109 kamuya açık EXIM sunucularını gözlemliyor."
E -posta alıcılarının etkilenecek kötü amaçlı eki başlatmaları gerekse de, kusur tehdit aktörlerinin dosya uzantılarına dayalı güvenlik kontrollerini atlamasına izin verir. Bu, yürütülebilir ürünler gibi normal olarak engellenen riskli dosyaları hedeflerinin posta kutularına teslim etmelerini sağlar.
EXIM'i hemen yükseltemeyen yöneticilerin, gelen sömürü girişimlerini engellemek için sunucularına internetten uzaktan erişimi kısıtlaması tavsiye edilir.
EXIM gibi MTA sunucuları genellikle saldırılarda hedeflenir, çünkü neredeyse her zaman internet üzerinden erişilebilirler, bu da bir hedefin ağına potansiyel giriş noktalarını bulmayı kolaylaştırır.
Exim aynı zamanda varsayılan Debian Linux MTA'dır ve bu ayın başlarında bir posta sunucusu anketine dayanan dünyanın en popüler MTA yazılımıdır.
Ankete göre, anket sırasında internette ulaşılabilecek 409.255 posta sunucusunun% 59'undan fazlası Exim çalışıyor ve 241.000'den fazla EXIM örneğini temsil ediyordu.
Ayrıca, bir Shodan araması başına, şu anda çevrimiçi olarak 3,3 milyondan fazla exim sunucusu, çoğu ABD'de, onu Rusya ve Hollanda takip ediyor. Censys, Exim'i çalışan 4.830.719 (kabaca%74) çevrimiçi 6.540.044 kamuya açık posta sunucusu buldu.
Ulusal Güvenlik Ajansı (NSA), Mayıs 2020'de kötü şöhretli Rus askeri hack grubunun Sandworm'un en azından Ağustos 2019'dan beri kritik bir CVE-2019-10149 Exim kusurundan (sihirbazın dönüşü olarak adlandırıldığını) kullandığını açıkladı.
Daha yakın zamanlarda, Ekim ayında Exim Devs, trend Micro'nun sıfır gün girişimi (ZDI), bunlardan biri (CVE-2023-42115), milyonlarca internet maruz kalan EXIM sunucusunu RCE saldırılarını ön plana çıkarmaya maruz bıraktı.
Cox, bir API Auth Bypass'ı Milyonlarca Modem'i Saldırılara Durdurarak Düzeltti
Bilgisayar korsanları, piyasaya sürüldükten 22 dakika sonra saldırılarda POC istismarlarını kullanır
GitLab: Kritik Bug Saldırganların diğer kullanıcılar olarak boru hatlarını çalıştırmasına izin verir
Cisa, devs'i işletim sistemi komut enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
CISA, yazılım geliştiricilerini SQL enjeksiyon güvenlik açıklarını ayıklamaya çağırıyor
Kaynak: Bleeping Computer