1,5 миллиона серверов Exim содержат критическую ошибку

[Artifact]

Хакеры получили новый инструмент атаки.
Компания Censys https://censys.com/cve-2024-39929/о критической уязвимости в почтовых серверах Exim, которая затрагивает более 1,5 миллионов серверов по всему миру. Ошибка позволяет злоумышленникам обходить фильтры безопасности и доставлять вредоносные вложения в почтовые ящики пользователей.
Уязвимость CVE-2024-39929 (оценка CVSS: 9.1 ) вызвана некорректным синтаксическим анализом многострочных имен файлов заголовков RFC2231, что позволяет удаленному атакующему обходить защиту $mime_filename. Ошибка позволяет доставлять исполняемые файлы в почтовые ящики пользователей, которые могут скомпрометировать систему при открытии.
В Exim можно использовать фильтры, которые анализируют имена вложенных файлов (MIME filename). Фильтры помогают выявлять и блокировать файлы с подозрительными или опасными именами, что снижает риск эксплуатации уязвимостей через вложения в электронной почте. Например, администратор может настроить Exim на блокировку вложений с расширениями, часто используемыми для распространения вредоносного ПО (например, .exe, .bat), или на проверку имен файлов на наличие подозрительных символов и последовательностей.
На данный момент зафиксировано 1 532 163 публично доступных сервера Exim, работающих на уязвимой версии (4.97.1 или более ранняя). Большинство серверов находятся в США, России и Канаде. Отметим, что для данного недостатка уже доступен PoC, но об активной эксплуатации пока ничего не известно.
Администраторам серверов Exim рекомендуется срочно обновить программное обеспечение до последней версии с исправлением уязвимости. Если обновление невозможно, следует ограничить удаленный доступ к серверам из интернета, чтобы предотвратить попытки эксплуатации уязвимости. На данный момент 82 общедоступных сервера показывают признаки работы с исправленной версией 4.98.
Согласно Shodan, в интернете открыто более 3,4 миллионов серверов Exim, большинство из которых находятся в США, в России и Нидерландах. Censys также обнаружила 6 540 044 почтовых серверов с публичным доступом, из которых 4 830 719 (примерно 74%) работают на Exim.

Доступные онлайн серверы Exim
Почтовые серверы, такие как Exim, часто становятся целью атак, поскольку они почти всегда доступны через интернет. Exim является стандартным MTA для Debian Linux и самым популярным почтовым сервером в мире. По последним данным, более 241 000 экземпляров из 409 255 доступных в интернете работают на Exim.