Exim posta aktarım aracısı (MTA) yazılımının tüm sürümlerindeki kritik bir sıfır gün güvenlik açığı, kimliği doğrulanmamış saldırganların İnternet’e açık sunucularda uzaktan kod yürütme (RCE) elde etmesine olanak tanıyabilir.
Anonim bir güvenlik araştırmacısı tarafından bulunan ve Trend Micro’nun Sıfır Gün Girişimi (ZDI) aracılığıyla açıklanan güvenlik hatası (CVE-2023-42115), SMTP hizmetinde bulunan Sınır Dışı Yazma zayıflığından kaynaklanmaktadır.
Bu tür bir sorun, başarılı bir istismarın ardından yazılımın çökmesine veya verilerin bozulmasına yol açabilse de, saldırganlar tarafından savunmasız sunucularda kod veya komut yürütmek amacıyla da kötüye kullanılabilir.
Çarşamba günü yayınlanan bir ZDI güvenlik danışma belgesinde “Belirli bir kusur, varsayılan olarak TCP bağlantı noktası 25’i dinleyen smtp hizmetinde mevcut” açıklaması yapılıyor.
“Sorun, kullanıcı tarafından sağlanan verilerin uygun şekilde doğrulanmamasından kaynaklanıyor ve bu da arabelleğin sonunu aşan bir yazmayla sonuçlanabiliyor. Bir saldırgan, hizmet hesabı bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
ZDI, Haziran 2022’de güvenlik açığını Exim ekibine bildirmiş ve Mayıs 2023’te satıcının talebi üzerine kusurla ilgili bilgileri yeniden göndermiş olsa da, geliştiriciler yama ilerlemesi hakkında bir güncelleme sağlayamadı.
Sonuç olarak ZDI, 27 Eylül’de CVE-2023-42115 sıfır gün ayrıntıları ve Exim ekibiyle yapılan tüm değişimlerin tam zaman çizelgesini içeren bir tavsiye belgesi yayınladı.
Milyonlarca sunucu saldırılara maruz kaldı
Exim gibi MTA sunucuları, saldırganların hedef ağına kolay giriş noktaları olarak hizmet etmeleri nedeniyle genellikle İnternet üzerinden erişilebilmeleri nedeniyle son derece savunmasız hedeflerdir.
Ulusal Güvenlik Ajansı (NSA), üç yıl önce, Mayıs 2020’de, kötü şöhretli Rus askeri hack grubu Sandworm’un, en az Ağustos 2019’dan bu yana kritik CVE-2019-10149 (Sihirbazın Dönüşü) Exim kusurunu kullandığını söyledi.
Eylül 2023’te yapılan bir posta sunucusu anketine göre Exim aynı zamanda Debian Linux dağıtımlarında varsayılan MTA ve dünyanın en popüler MTA yazılımıdır.
Ankete göre Exim, İnternet’te erişilebilen toplam 602.000 posta sunucusunun %56’sından fazlasında kurulu, bu da 342.000’den biraz fazla Exim sunucusunu temsil ediyor.
Shodan araması başına şu anda 3,5 milyonun biraz üzerinde Exim sunucusu çevrimiçi olarak açığa çıkıyor; bunların çoğu Amerika Birleşik Devletleri’nde, ardından Rusya ve Almanya geliyor.
Savunmasız Exim sunucularını potansiyel saldırılara karşı korumak için henüz bir yama mevcut olmasa da ZDI, yöneticilere, gelen istismar girişimlerini engellemek için İnternet’ten uzaktan erişimi kısıtlamalarını tavsiye etti.
ZDI, “Güvenlik açığının doğası göz önüne alındığında, tek göze çarpan azaltma stratejisi uygulamayla etkileşimi kısıtlamaktır” diye uyardı.