Güvenlik araştırmacılarının son bulgularına göre, şu anda 1,5 milyondan fazla e-posta sunucusu, Exim posta aktarım aracısında (MTA) bulunan kritik bir güvenlik açığına karşı savunmasız durumda.
Exim, Unix veya Unix benzeri işletim sistemleri çalıştıran ana bilgisayarlarda kullanılan ücretsiz bir posta aktarım aracısıdır. İlk olarak 1995 yılında Cambridge Üniversitesi’nde kullanılmak üzere yayınlanmıştır.
CVE-2024-39929 olarak takip edilen bu güvenlik açığının önem derecesi 10 üzerinden 9,1 olup tehdit aktörlerinin güvenlik korumalarını aşarak kullanıcı hesaplarına yürütülebilir ekler göndermesine olanak tanıyarak önemli bir risk oluşturmaktadır.
On gün önce açıklanan güvenlik açığı, Exim’in 4.97.1’e kadar olan tüm sürümlerini etkiliyor. Bu güvenlik açığı, RFC 2231’de belirtilen şekilde Exim’in çok satırlı başlıkları ayrıştırma biçimindeki bir hatadan kaynaklanıyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Bu açık, saldırganların uzantı engelleme mekanizmalarını aşmalarına olanak vererek, kötü amaçlı yürütülebilir ekleri e-posta yoluyla iletmelerine olanak sağlıyor.
Exim proje ekibinin bir üyesi olan Heiko Schlittermann, sorunun ciddiyetini doğrulayarak, “Bu hatayı doğrulayabilirim. Bana ciddi bir güvenlik sorunu gibi görünüyor” dedi.
Güvenlik şirketi Censys’in yaptığı analize göre, 6,5 milyon kamuya açık SMTP e-posta sunucusundan yaklaşık 4,8 milyonu (%74) Exim tarafından çalıştırılıyor.
1,5 milyondan fazla sunucuda yazılımın güvenlik açığı bulunan bir sürümü çalışıyor ve bu da onları olası saldırılara karşı savunmasız hale getiriyor.
Tarihsel Bağlam ve Riskler
CVE-2024-39929 açığının aktif olarak kullanıldığına dair bilinen bir rapor olmasa da saldırının kolaylığı ve çok sayıda güvenlik açığı bulunan sunucu, tehdit aktörlerinin bu açığı hedef almaya başlamasının yalnızca zaman meselesi olduğunu gösteriyor.
Bu durum, Kremlin destekli hack grubu Sandworm’un kök sistem haklarıyla kötü amaçlı kod yürütmek için ciddi bir Exim açığını (CVE-2019-10149) kullandığı 2019’daki benzer bir olayı hatırlatıyor. Bu saldırılar, açığın ifşa edilmesinden iki ay sonra başladı ve yaklaşık bir yıl boyunca devam etti.
Exim 4.98’in Sürüm Adayı 3’ü CVE-2024-39929 için bir düzeltme içerir. Yöneticilerin, istismar riskini azaltmak için sistemlerini bu son sürüme güncellemeleri önemle tavsiye edilir.
Saldırının başarılı olması için son kullanıcıların ekli yürütülebilir dosyaya tıklaması gerekliliğine rağmen, saldırganlar tarafından yaygın olarak kullanılan sosyal mühendislik taktiklerinin etkinliği nedeniyle risk hala yüksek.
Yöneticiler, bu ve diğer güvenlik açıklarına karşı korunmak için Exim kurulumlarını en son sürüme güncellemeye öncelik vermelidir.
Hızlı Yama Adımları
1. Güvenlik Açığını Belirleyin
Sisteminizi etkileyen belirli güvenlik açığını anlayın. Exim sunucuları için, mevcut kritik güvenlik açığı CVE-2024-39929 olarak izlenmektedir.
2. Yamayı İndirin
En son yamayı resmi Exim web sitesinden veya deposundan edinin. CVE-2024-39929 için düzeltme, Exim 4.98’in Sürüm Adayı 3’ünde mevcuttur.
3. Sisteminizi Yedekleyin
Herhangi bir yama uygulamadan önce sunucunuzun tam yedeğine sahip olduğunuzdan emin olun. Bu adım, yama işlemi sırasında bir şeyler ters giderse veri kaybını önlemek için çok önemlidir.
4. Yamayı Uygulayın
Yamayı uygulamak için aşağıdaki adımları izleyin:
Linux tabanlı sistemler için:
- Sunucunuza SSH ile bağlanın:
ssh user@your_server_ip- Paket Listelerini Güncelle:
sudo apt-get update- En Son Exim Sürümünü Yükleyin:
sudo apt-get install exim4- Kurulumu Doğrulayın:
exim -bVGörüntülenen sürümün 4.98 veya üzeri olduğundan emin olun.
doğru ve yama başarıyla uygulandı:
sudo systemctl status exim4Durumun “aktif (çalışıyor)” olarak gösterildiğinden emin olun.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo