Exim posta transfer aracısının (MTA) bakımcıları, şu anda yaklaşık 1,5 milyon halka açık sunucuyu etkileyen ve saldırganların kullanıcılara kötü amaçlı yazılım ulaştırmasına yardımcı olabilen kritik bir güvenlik açığını (CVE-2024-39929) düzeltti.
CVE-2024-39929 Hakkında
Söz konusu güvenlik açığı, RFC 2231 başlık ayrıştırmasındaki bir hatadan kaynaklanıyor ve uzak saldırganların koruma önlemlerini aşarak yürütülebilir ekleri doğrudan son kullanıcıların posta kutularına göndermesine olanak tanıyabilir.
Kusuru keşfeden araştırmacı Phillip Szelat, “Bu hata, $mime_filename ile eşleştirme yoluyla bir uzantı engelleme listesi uygulayan kullanıcılar için potansiyel bir güvenlik sorunu olabilir, çünkü dosya adı doğru şekilde ayrıştırılmıyor ve dosya adının ilgili son kısmı atlanıyor” şeklinde açıklama yaptı.
Herhangi bir şeyin gerçekleşmesi için kullanıcıların kötü amaçlı ekleri kendilerinin indirmesi/çalıştırması gerekir. Yine de, bu güvenlik açığı, kötü amaçlı eklerin teslim edilmeden önce engellenmemesi ve saldırganların akıllı sosyal mühendislik hilelerinden yararlanması durumunda daha olası hale getirir.
CVE-2024-39929, Exim’in 4.97.1’e kadar olan sürümlerini etkiliyor ve geçen hafta yayınlanan Exim v4.98’de düzeltildi.
PoC mevcuttur
Exim, Unix benzeri işletim sistemlerinin çoğunda varsayılan olarak bulunur ve aslında piyasadaki en yaygın kullanılan posta aktarım aracıdır.
Censys’e göre şirketin arama motoru aracılığıyla gördüğü 6.540.044 adet halka açık SMTP posta sunucusunun yaklaşık %75’i (4.830.719) Exim kullanıyor.
Şirket, “10 Temmuz 2024 itibarıyla Censys, çoğunlukla Amerika Birleşik Devletleri, Rusya ve Kanada’da yoğunlaşan, potansiyel olarak savunmasız bir sürüm (4.97.1 veya daha eski) çalıştıran 1.567.109 adet kamuya açık Exim sunucusu gözlemledi” dedi. “Bir PoC [for CVE-2024-39929] “Mevcuttur, ancak henüz aktif bir kullanımı bilinmemektedir.”
Exim 4.98 hem tarball olarak hem de Git (Git deposu) üzerinden kullanılabilir.
Linux dağıtımları düzeltmeyi taşıyan güncellenmiş exim4 paketlerini yayınlamak için çalışıyor veya yayınladı bile. Yöneticiler en kısa sürede en son sürüme yükseltme yapmalıdır.
“Exim’in 4.98 sürümünden önceki tüm sürümleri artık eskidir. Son 3.x sürümü 3.36’ydı. Yirmi yıldır eskidir ve kullanılmamalıdır,” diye belirtti Exim bakımcıları.
Exim’deki güvenlik açıkları sıklıkla güvenlik araştırmacıları tarafından bulunup gizlice ifşa ediliyor ve zaman zaman saldırganlar tarafından istismar ediliyor.