网络空间搜索引擎 Censys 警告称,超过 150 万个 Exim 邮件传输代理 (MTA) 实例未修补一个严重漏洞,该漏洞可导致攻击者绕过安全过滤器。
该安全漏洞被编号为CVE-2024-39929 ,并于周三由 Exim 开发人员进行了修补,影响 Exim 4.97.1 及以下版本。
该漏洞是由于对多行 RFC2231 头文件名的错误解析造成的,这使得远程攻击者可以绕过$mime_filename扩展名阻止保护机制,将恶意的可执行附件传送到最终用户的邮箱中。
Censys 警告称:“如果用户下载或运行其中一个恶意文件,系统可能会受到威胁”,并补充道,“目前已经有了 PoC,但尚未发现任何主动攻击。”
该公司补充道:“截至 2024 年 7 月 10 日,Censys 观察到 1,567,109 台公开暴露的 Exim 服务器运行着潜在易受攻击的版本(4.97.1 或更早版本),主要集中在美国、俄罗斯和加拿大。”
虽然电子邮件收件人仍需启动恶意附件才会受到影响,但该漏洞可让攻击者绕过基于文件扩展名的安全检查。这样一来,他们便可将通常被阻止的危险文件(如可执行文件)发送到目标邮箱。
建议无法立即升级 Exim 的管理员限制从互联网对其服务器的远程访问,以阻止传入的攻击尝试。
数百万台服务器暴露在网上
MTA 服务器(例如 Exim)经常成为攻击目标,因为它们几乎总是可以通过互联网访问,这使得它们很容易找到进入目标网络的潜在入口点。
根据本月初的邮件服务器调查, Exim 也是 Debian Linux 默认的 MTA,并且是世界上最受欢迎的 MTA 软件。
调查显示,在调查期间可通过互联网访问的 409,255 台邮件服务器中,超过 59% 运行着 Exim,也就是超过 241,000 个 Exim 实例。
此外,根据Shodan 搜索,目前有超过 330 万台 Exim 服务器暴露在网上,其中大部分位于美国,其次是俄罗斯和荷兰。Censys 发现网上有 6,540,044 台面向公众的邮件服务器,其中 4,830,719 台(约占 74%)运行着 Exim。
可在线访问 Exim 服务器分布(Shodan)
美国国家安全局 (NSA)于 2020 年 5 月透露,俄罗斯黑客组织 Sandworm 至少自 2019 年 8 月以来一直在利用关键的 CVE-2019-10149 Exim 漏洞(被称为“WIZard 的回归”)。
最近,在 10 月份,Exim 开发人员修补了通过趋势科技零日计划 (ZDI) 披露的三个零日漏洞,其中一个 (CVE-2023-42115)使数百万台暴露在互联网上的 Exim 服务器面临预授权 RCE 攻击。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/nyy-QsuvfzrWvkCRyJ1tFg
暂无评论内容