Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器

admin 2024年7月15日22:14:30评论27 views字数 958阅读3分11秒阅读模式

Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Censys 公司提醒称,超过150万台 Exim 邮件传输代理 (MTA) 实例未修复一个严重漏洞,导致攻击者可绕过安全过滤器。

该漏洞是CVE-2024-39929,由 Exim 开发人员在上周三修复,影响 Exim 4.97.1及以下版本。该漏洞是因为对多行 RFC2231标头文件名的解析错误导致的,可使远程攻击者通过规避 $mime_filename 扩展拦截的防护机制,将恶意可执行文件附件传播到终端用户的邮箱中。Censys 公司提到,“如用户下载或运行其中一个恶意文件,则系统可遭攻陷”,以及“PoC 已存在,不过尚未发现活跃利用。截止到2024年7月10日,Censys 观测到109台公开暴露的 Exim 服务器运行潜在的易受攻击版本(4.97.1或更早版本),多数位于美国、俄罗斯和加拿大。”

虽然收件人仍将需要启动恶意附件才会受影响,但该漏洞可导致攻击者基于文件扩展绕过文件检查,从而传播正常情况下会被拦截的具有风险的文件进入目标邮箱。

建议无法立即更新 Exim 的管理员限制从互联网远程访问服务器,以拦截利用尝试。

Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器
数百万台服务器被暴露在网络
Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器

MTA 服务器如 Exim 通常会遭攻击,因为它们几乎均可通过互联网访问,使其容易找到目标网络的潜在入口点。

从本月早些时候的一份邮件服务器调查问卷来看,Exim 也是默认的 Debain Linux MTA,是全球最热门的 MTA 软件。该调查显示,在409255台邮件服务器中,超过59%是可从互联网访问的 Exim,相当于超过24.1万个 Exim 实例。另外从 Shodan 搜索结果发现,目前超过330万台 Exim 服务器遭暴露,它们多数位于美国,其次是俄罗斯和荷兰。Censys 公司发现6540044台公开的邮件服务器出现在互联网,其中约74%运行的是 Exim。

NSA曾在2020年5月披露称,臭名昭著的俄罗斯军队黑客组织Sandworm 至少从2019年8月开始就利用严重的 CVE-2019-10149。去年10月份,Exim 运维人员修复了通过ZDI报送的三个0day漏洞,其中一个CVE-2023-42115导致数百万台暴露在互联网上的 Exim 服务器易受预认证 RCE 攻击。

原文始发于微信公众号(代码卫士):Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日22:14:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器https://cn-sec.com/archives/2957363.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息