Censys هشدار می دهد که بیش از ۱٫۵ میلیون نمونه Exim Email Transfer Agent (MTA) در برابر یک آسیب پذیری حیاتی که به هکرها اجازه می دهد فیلترهای امنیتی را دور بزنند، اصلاح نشده اند.
این آسیب پذیری که بهعنوان CVE-2024-39929 شناخته میشود ، روز چهارشنبه توسط توسعهدهندگان Exim پچ شده است. همچنین بر نسخههای Exim تا نسخه ۴٫۹۷٫۱ تأثیر میگذارد.
این آسیبپذیری به دلیل تفسیر نادرست نام فایلهای هدر چندخطی RFC2231 است که میتواند به مهاجمان راه دور اجازه دهد پیوستهای اجرایی مخرب را با دور زدن مکانیزم حفاظت از مسدودسازی پسوند $mime_filename به صندوقهای پستی کاربران نهایی تحویل دهند.
Censys هشدار داد: اگر کاربر یکی از این فایلهای مخرب را دانلود یا اجرا کند، ممکن است سیستم به خطر بیفتد.
تا تاریخ ۱۰ ژوئیه ۲۰۲۴، Censys گزارش داده که بیش از ۱.۵ میلیون سرور Exim که به صورت عمومی در دسترس هستند، نسخهای از نرمافزار را اجرا میکنند که احتمالاً آسیبپذیر است و بیشتر این سرورها در کشورهای آمریکا، روسیه و کانادا قرار دارند.
اگرچه گیرندگان ایمیل هنوز باید پیوست مخرب را باز کنند تا تحت تأثیر قرار گیرند، اما این آسیب پذیری به مهاجمان اجازه میدهد تا از بررسیهای امنیتی مبتنی بر پسوند فایل عبور کنند. این امر به آنها اجازه میدهد فایلهای خطرناکی که معمولاً مسدود میشوند، مانند فایلهای اجرایی، را به صندوقهای پستی هدفهایشان ارسال کنند.
به مدیرانی که نمیتوانند بلافاصله Exim را بهروزرسانی کنند، توصیه میشود دسترسی از راه دور به سرورهای خود را از اینترنت محدود کنند تا جلوی تلاشهای بهرهبرداری ورودی را بگیرند.
میلیون ها سرور به صورت آنلاین در معرض دید قرار گرفتند
سرورهای MTA، مانند Exim، اغلب در حملات هدف قرار میگیرند، زیرا تقریباً همیشه از طریق اینترنت در دسترس هستند و یافتن نقاط ورودی احتمالی به شبکه هدف را آسان میکنند.
Exim همچنین نرمافزار MTA پیشفرض در سیستم عامل دبیان لینوکس است و بر اساس یک نظرسنجی از سرورهای ایمیل در اوایل این ماه، محبوبترین نرمافزار MTA در جهان است.
بر اساس این نظرسنجی، بیش از ۵۹ درصد از ۴۰۹۲۵۵ سرور پست الکترونیکی قابل دسترسی در اینترنت در طول بررسی، Exim را اجرا میکردند که بیش از ۲۴۱۰۰۰ نمونه Exim را نشان میداد.
همچنین، بر اساس جستجوی Shodan، بیش از ۳٫۳ میلیون سرور Exim در حال حاضر به صورت آنلاین در معرض دید قرار گرفته اند که بیشتر آنها در ایالات متحده و پس از آن روسیه و هلند قرار دارند.
NSA در سال ۲۰۲۰ اعلام کرد که گروه هکری Sandworm از یک آسیبپذیری مهم در Exim با شناسه CVE-2019-10149 استفاده کرده و این بهرهبرداری از این نقص از سال ۲۰۱۹ شروع شده است.
در اکتبر، توسعهدهندگان Exim سه آسیبپذیری جدید را که هنوز شناخته نشده و توسط Trend Micro فاش شده بود، برطرف کردند. یکی از این آسیبپذیریها با شناسه CVE-2023-42115 باعث میشد که میلیونها سرور Exim که به اینترنت متصل هستند، بدون نیاز به احراز هویت، در معرض حملات اجرای کد از راه دور قرار بگیرند.
