聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是CVE-2024-39929,由 Exim 开发人员在上周三修复,影响 Exim 4.97.1及以下版本。该漏洞是因为对多行 RFC2231标头文件名的解析错误导致的,可使远程攻击者通过规避 $mime_filename 扩展拦截的防护机制,将恶意可执行文件附件传播到终端用户的邮箱中。Censys 公司提到,“如用户下载或运行其中一个恶意文件,则系统可遭攻陷”,以及“PoC 已存在,不过尚未发现活跃利用。截止到2024年7月10日,Censys 观测到109台公开暴露的 Exim 服务器运行潜在的易受攻击版本(4.97.1或更早版本),多数位于美国、俄罗斯和加拿大。”
虽然收件人仍将需要启动恶意附件才会受影响,但该漏洞可导致攻击者基于文件扩展绕过文件检查,从而传播正常情况下会被拦截的具有风险的文件进入目标邮箱。
建议无法立即更新 Exim 的管理员限制从互联网远程访问服务器,以拦截利用尝试。
MTA 服务器如 Exim 通常会遭攻击,因为它们几乎均可通过互联网访问,使其容易找到目标网络的潜在入口点。
从本月早些时候的一份邮件服务器调查问卷来看,Exim 也是默认的 Debain Linux MTA,是全球最热门的 MTA 软件。该调查显示,在409255台邮件服务器中,超过59%是可从互联网访问的 Exim,相当于超过24.1万个 Exim 实例。另外从 Shodan 搜索结果发现,目前超过330万台 Exim 服务器遭暴露,它们多数位于美国,其次是俄罗斯和荷兰。Censys 公司发现6540044台公开的邮件服务器出现在互联网,其中约74%运行的是 Exim。
NSA曾在2020年5月披露称,臭名昭著的俄罗斯军队黑客组织Sandworm 至少从2019年8月开始就利用严重的 CVE-2019-10149。去年10月份,Exim 运维人员修复了通过ZDI报送的三个0day漏洞,其中一个CVE-2023-42115导致数百万台暴露在互联网上的 Exim 服务器易受预认证 RCE 攻击。
数百万台Exim 服务器被曝严重缺陷,可导致攻击者以根权限远程执行命令
开源邮件传输代理 Exim 易遭 RCE 和 DoS 攻击 用户应立即修复
https://www.bleepingcomputer.com/news/security/critical-exim-bug-bypasses-security-filters-on-15-million-mail-servers/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~