Exim 严重漏洞绕过150万台邮件服务器上的安全过滤器

该漏洞是CVE-2024-39929，由 Exim 开发人员在上周三修复，影响 Exim 4.97.1及以下版本。该漏洞是因为对多行 RFC2231标头文件名的解析错误导致的，可使远程攻击者通过规避 $mime_filename 扩展拦截的防护机制，将恶意可执行文件附件传播到终端用户的邮箱中。Censys 公司提到，“如用户下载或运行其中一个恶意文件，则系统可遭攻陷”，以及“PoC 已存在，不过尚未发现活跃利用。截止到2024年7月10日，Censys 观测到109台公开暴露的 Exim 服务器运行潜在的易受攻击版本（4.97.1或更早版本），多数位于美国、俄罗斯和加拿大。”

虽然收件人仍将需要启动恶意附件才会受影响，但该漏洞可导致攻击者基于文件扩展绕过文件检查，从而传播正常情况下会被拦截的具有风险的文件进入目标邮箱。

建议无法立即更新 Exim 的管理员限制从互联网远程访问服务器，以拦截利用尝试。

数百万台服务器被暴露在网络

MTA 服务器如 Exim 通常会遭攻击，因为它们几乎均可通过互联网访问，使其容易找到目标网络的潜在入口点。

从本月早些时候的一份邮件服务器调查问卷来看，Exim 也是默认的 Debain Linux MTA，是全球最热门的 MTA 软件。该调查显示，在409255台邮件服务器中，超过59%是可从互联网访问的 Exim，相当于超过24.1万个 Exim 实例。另外从 Shodan 搜索结果发现，目前超过330万台 Exim 服务器遭暴露，它们多数位于美国，其次是俄罗斯和荷兰。Censys 公司发现6540044台公开的邮件服务器出现在互联网，其中约74%运行的是 Exim。

NSA曾在2020年5月披露称，臭名昭著的俄罗斯军队黑客组织Sandworm 至少从2019年8月开始就利用严重的 CVE-2019-10149。去年10月份，Exim 运维人员修复了通过ZDI报送的三个0day漏洞，其中一个CVE-2023-42115导致数百万台暴露在互联网上的 Exim 服务器易受预认证 RCE 攻击。