E-posta Güvenliği ve Koruması, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Yaklaşık 5 Milyon Sunucu Etkilenmiş Olabilir, Sadece 82’sine Yama Uygulandı
Prajeet Nair (@prajeetskonuşuyor) •
13 Temmuz 2024
Yöneticiler, Exim Mail Transfer Agent’taki kritik bir güvenlik açığını kapatmakta yavaş davrandılar. Bu güvenlik açığı, tehdit aktörlerinin e-posta güvenlik filtrelerini atlatıp kötü amaçlı ekleri doğrudan kullanıcı gelen kutularına göndermesine olanak tanıyor.
Ayrıca bakınız: İsteğe Bağlı Siber Suçlular Tatil Günlerini Boş Geçirmezler
Unix benzeri işletim sistemlerinde yaygın olarak kullanılan bir MTA olan Exim, Censys tarafından görülebilen 6,54 milyon genel kullanıma açık SMTP posta sunucusunun yaklaşık %74’üne hizmet veriyor. Güvenlik firması, 4,83 milyon Exim sunucusunun savunmasız olabileceğini ve bunların önemli yoğunluklarının ABD, Rusya ve Kanada’da olduğunu söyledi. Araştırmacılar, şu ana kadar yalnızca 82 genel kullanıma açık sunucunun yamalı sürüm olan Exim 4.98’e güncellendiğini söyledi.
CVSS puanı 9.1 olan CVE-2024-39929 olarak tanımlanan güvenlik açığı, RFC 2231 başlıklarının ayrıştırılmasındaki bir hatadan kaynaklanmaktadır. Bu kusur, uzak saldırganların dosya adı uzantısı engelleme önlemlerinden kaçınmasına ve yürütülebilir eklerin son kullanıcılara ulaşmasına olanak tanıyabilir. Kullanıcılar bu ekleri indirir veya yürütürse sistemleri tehlikeye girebilir.
Censys bu açığı 4 Temmuz’da açıkladı ve 10 Temmuz tarihli bir duyuruda olası etkisini ayrıntılı olarak açıkladı. Bu açık, 4.97.1’e kadar olan Exim sürümlerini etkiliyor.
Bu güvenlik açığını istismar etmek için bir kavram kanıtı mevcut, ancak şu ana kadar bilinen aktif istismar örneği yok. Ancak araştırmacılar, Exim MTA’nın yaygın kullanımının onu birincil hedef haline getirebileceği konusunda uyardı.
GRU Ana Özel Teknolojiler Merkezi’nden Rus siber aktörler, özellikle Sandworm, posta sunucularının kontrolünü ele geçirmek için Exim posta transfer aracı yazılımındaki güvenlik açıklarından faydalanmalarıyla bilinir. Bu taktik en azından Nisan 2019’dan beri kullanılıyor, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı 2020’de bildirdi. (Bkz: Binlerce Exim Sunucusu Kritik Bir Açığa Karşı Savunmasız: Rapor).
Araştırmacılar, yöneticilere bu tehdidi azaltmak için Exim 4.98’e yükseltmeyi önceliklendirmelerini tavsiye etti. Güvenlik açığını gideren yama, Exim’in GitHub deposunda bulunabilir. Censys, potansiyel olarak savunmasız Exim örneklerini belirlemek için sorgular sağlar ve yöneticilerin bu kritik açığı hızla tespit edip ele almasına yardımcı olur.
Censys ayrıca güvenlik açığı bulunan sürümleri çalıştıran Exim sunucularını belirlemek için iki temel sorgu da sundu:
- Censys Arama Sorgusu: services.software: (product=”exim” ve sürüm: [* to 4.97.1])
- Censys ASM Sorgusu: host.services.software: (product=”exim” ve sürüm: [* to 4.97.1]) veya web_entity.instances.software: (product=”exim” ve sürüm: [* to 4.97.1])
Riski azaltmak için yöneticiler, güçlü e-posta güvenliğini sürdürmek ve olası ihlalleri önlemek için MTA yazılımında zamanında güncellemeler sağlamalıdır.
Exim kullanan kuruluşların da uyarıları gözden geçirmeleri, sistemlerini güncellemeleri ve maruziyetlerini değerlendirmek için sağlanan sorguları kullanmaları gerekiyor.