Exim e-posta aktarım aracında, tehdit aktörlerinin hedef kullanıcıların e-posta kutularına kötü amaçlı ekler göndermesine olanak sağlayabilecek kritik bir güvenlik sorunu ortaya çıkarıldı.
CVE-2024-39929 olarak izlenen güvenlik açığının CVSS puanı 10.0 üzerinden 9.1’dir. 4.98 sürümünde giderilmiştir.
ABD Ulusal Güvenlik Açığı Veritabanı’nda (NVD) paylaşılan bir açıklamaya göre, “Exim 4.97.1’e kadar çok satırlı bir RFC 2231 başlık dosya adını yanlış ayrıştırıyor ve böylece uzaktaki saldırganlar $mime_filename uzantısını engelleyen koruma mekanizmasını aşabiliyor ve potansiyel olarak son kullanıcıların posta kutularına yürütülebilir ekler teslim edebiliyor.”
Exim, Unix veya Unix benzeri işletim sistemleri çalıştıran ana bilgisayarlarda kullanılan ücretsiz bir posta aktarım aracısıdır. İlk olarak 1995 yılında Cambridge Üniversitesi’nde kullanılmak üzere yayınlanmıştır.
Saldırı yüzeyi yönetim firması Censys, 6.540.044 halka açık SMTP posta sunucusunun 4.830.719’unun Exim çalıştırdığını söyledi. 12 Temmuz 2024 itibarıyla, internete erişilebilen 1.563.085 Exim sunucusu potansiyel olarak savunmasız bir sürüm (4.97.1 veya daha eski) çalıştırıyor.
Riskli bölgelerin büyük çoğunluğu ABD, Rusya ve Kanada’da bulunuyor.
“Bu güvenlik açığı, uzak bir saldırganın dosya adı uzantısı engelleme koruma önlemlerini atlatmasına ve yürütülebilir ekleri doğrudan son kullanıcıların posta kutularına göndermesine olanak tanıyabilir,” diye belirtti. “Bir kullanıcı bu kötü amaçlı dosyalardan birini indirir veya çalıştırırsa, sistem tehlikeye girebilir.”
Bu ayrıca, olası hedeflerin saldırının başarılı olması için ekteki yürütülebilir dosyaya tıklaması gerektiği anlamına gelir. Kusurun etkin bir şekilde istismar edildiğine dair bir rapor olmasa da, kullanıcıların olası tehditleri azaltmak için yamaları uygulamak için hızlı hareket etmeleri önemlidir.
Gelişme, projenin Exim’de bilgi ifşası ve uzaktan kod yürütülmesine yol açabilecek altı güvenlik açığını tespit etmesinden yaklaşık bir yıl sonra geldi.