Exim posta transfer aracısında (CVE-2025-26794) yeni açıklanan bir güvenlik açığı, siber güvenlik topluluğu aracılığıyla şok dalgaları göndererek, saldırganların e-posta sistemlerini tehlikeye atmasını ve altta yatan veritabanlarını manipüle etmesini sağlayan kritik bir SQL enjeksiyon kusurunu ortaya çıkardı.
İpucu veritabanları için SQLite kullanılarak EXIM sürüm 4.98 kurulumlarında onaylanan güvenlik açığı, 2025’te belirlenen en şiddetli e -posta güvenlik tehditlerinden birini temsil eder ve veri açığa çıkmasından tam sistem devralmasına kadar değişen potansiyel etkilerdir.
Güvenlik açığının teknik dökümü
Güvenlik kusuru, belirli yapı parametreleri ve çalışma zamanı ayarları ile yapılandırıldığında Exim’in SQL sorgularının işlenmesinde bulunur.
Sistemler, ipuçları veritabanı yönetimi için SQLITE entegrasyonunu etkinleştiren _use_sqlite_ seçeneği ile derlendiğinde ve yöneticiler uygun serileştirme önlemleri olmadan ETRN komutlarını etkinleştirdiğinde savunmasız hale gelir.
Bu güvenlik açığından yararlanan saldırganlar, özel olarak hazırlanmış e -posta işlemleri aracılığıyla kötü niyetli SQL yükleri enjekte edebilir ve potansiyel olarak e -posta yönlendirme bilgileri ve sistem meta verileri içeren hassas veritabanı kayıtlarına yetkisiz erişim elde edebilir.
Saldırı Vektör Analizi
Başarılı sömürü üç eşzamanlı koşul gerektirir:
- Savunmasız exim yapısı: Sunucu, SQLITE desteği ile derlenen EXIM 4.98’i çalıştırmalıdır (DB: EXIM -BV çıkışında SQLITE3 kullanarak)
- ETRN Yapılandırması: Acl_smtp_etrn ayarı ‘kabul’ döndürmelidir (varsayılan: ‘inkar’)
- Serileştirme baypası: SMTP_ETRN_SERIALIZIZE parametresi varsayılan ‘gerçek’ değerde kalmalı ve yarış koşulu fırsatları yaratmalıdır
Bu kombinasyon, saldırganların e -posta sunucusu etkileşimleri aracılığıyla keyfi SQL komutlarını yürütebilecekleri sömürülebilir bir pencere oluşturur.
Güvenlik araştırmacıları, varsayılan yapılandırma bazı koruma sağlarken, birçok kurumsal ortamın bu ayarları eski sistemlerle uyumluluk için değiştirdiğini ve yanlışlıkla saldırı yollarını sağladığını vurgulamaktadır.
Exim geliştirme ekibi, son onaydan sonraki 72 saat içinde yamalı versiyonları yayınladı ve olağanüstü yanıt koordinasyonu gösterdi.
Bataille’in sorumlu açıklama yaklaşımı, geliştiricilerin kamu açıklamasından önce hafifletmeler yaratmalarına izin vererek potansiyel hasarı en aza indirdi.
Azaltma stratejileri
Exim kullanan kuruluşlar derhal olmalıdır:
- EXIM -BV kontrolleri aracılığıyla kurulum sürümlerini doğrulayın
- Operasyonlar için gerekli değilse SQLITE entegrasyonunu devre dışı bırakın
- SMTP Erişim Kontrol Listelerinde Sıkı ETRN Komut Filtreleme Uygula
- Exim’in kod deposundan resmi yamayı uygulayın
SQLITE işlevselliği gerektiren sistemler için, güvenlik ekipleri olağandışı veritabanı erişim modelleri için ek sorgu dezenfekla katmanları ve ağ düzeyinde izleme uygulamalıdır.
EXIM koruyucular, benzer enjeksiyon vektörlerini önlemek için mimari iyileştirmeler içeren 4.98.1 sürümüne tam geçiş önermektedir.
Bu güvenlik açığı, e-posta altyapı güvenliğinde, özellikle yaygın olarak konuşlandırılmış açık kaynaklı çözümlerde kalıcı zorlukları vurgulamaktadır.
Son anketlere göre exim çalıştıran internete bakan posta sunucularının% 60’ından fazlası, potansiyel saldırı yüzeyi önemlidir.
Olay, güncellenmiş yazılım envanterlerini korumanın ve satıcı güvenlik bildirim programlarına katılmanın kritik öneminin altını çizmektedir.
Oscar Bataille’in sonraki görüşmelerde belirttiği gibi: “Bu keşif bize olgun, yaygın olarak denetlenmiş sistemlerin bile yeni özellikler miras bileşenleriyle etkileşime girdiğinde gizli riskler içerdiğini hatırlatıyor”.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here