Güvenlik araştırmacıları, internet posta sunucularının% 60’ından fazlasını güçlendiren yaygın olarak kullanılan posta aktarım aracısı (MTA) EXIM’de kritik bir SQL enjeksiyon güvenlik açığını (CVE-2025-26794) ortaya çıkardılar.
Kusur, kimliği doğrulanmış saldırganların belirli yapılandırma koşulları olduğunda özel olarak hazırlanmış ETRN SMTP işlemleri aracılığıyla keyfi SQL komutları yürütmelerini sağlar.
Güvenlik açığı, 8 Şubat 2025’te güvenlik araştırmacısı Oscar Bataille tarafından sorumlu açıklama kanalları aracılığıyla bildirildi.
EXIM Posta Transferi Güvenlik Açığı
Güvenlik açığı, özellikle SMTP uzantıları (ETRN/RFC 1985) ve veritabanı arka uçları arasındaki etkileşim ile ilgili olarak posta sunucusu yapılandırma güvenliğindeki kritik zorlukları vurgular.
Güvenlik açığı, üç özel kriteri karşılayan EXIM 4.98 kurulumlarında tezahür eder:
- SQLITE entegrasyonu: _Use_sqlite_ yapı bayrağı ile derlenir, exim -bv çıkışında görünür “DB: SQLITE3 kullanma” altında.
- ETRN Yapılandırması: ACL_SMTP_ETRN Çalışma zamanı yapılandırmasında kabul edecek (varsayılan: inkar) ayarlayın.
- Serileştirme etkinleştirildi: smtp_etrn_serialize = true (varsayılan ayar).
Saldırı vektörleri, işlem meta verilerini saklarken SQL sorgularını yanlış sterilize eden ETRN komutunun serileştirme mekanizmasını kullanır.
Kavram kanıtı istismarı SMTP oturum manipülasyonunu kullanabilir:
Bu enjeksiyon paterni, teslimat ipuçları, gönderen doğrulama kayıtları ve TLS oturum önbellek verilerini içeren SQLIT veritabanlarını tehlikeye atabilir.
Etki analizi ve azaltma stratejileri
Başarılı sömürü:
- Rasgele SQL Yürütme (Ekle/Güncelleme/Sil)
- DDL komutları aracılığıyla veritabanı şeması manipülasyonu
- SQLite’in Load_Extension Yeteneği aracılığıyla potansiyel ayrıcalık artışı
EXIM bakıcıları standart güncelleme kanalları aracılığıyla yamalı sürümler yayınladı. Sistem yöneticileri:
- EXIM -BV kullanarak kurulum durumunu doğrulayın | grep ‘exim versiyonu’
- SQLITE kullanımını GREP ‘SQLITE3 kullanarak’ <(exim -bv) ile kontrol edin
Güvenlik güncellemelerini işletim sistemi paket yöneticileri veya code.exim.org adresinden kaynak derlemesi aracılığıyla hemen uygulayın
Yama dağıtımından itibaren vahşi doğada aktif istismarlar gözlenmemiştir, ancak göreceli olarak sömürü kolaylığı hızlı silahlanmanın olası olduğunu göstermektedir.
EXIM kullanan tüm kuruluşlar, posta yönlendirmesi için kullanan tüm kuruluşlar bu güncellemeye, özellikle de hassas iletişimi işleyen veya düzenlenmiş endüstrilerde faaliyet gösteren kuruluşlara öncelik vermelidir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun