Censys memperingatkan bahwa lebih dari 1,5 juta instans agen transfer surat (MTA) Exim belum ditambal terhadap kerentanan kritis yang memungkinkan pelaku ancaman menerobos filter keamanan.
Dilacak sebagai CVE-2024-39929 dan ditambal oleh pengembang Exim di Rabukelemahan keamanan memengaruhi rilis Exim hingga dan termasuk versi 4.97.1.
Kerentanan ini disebabkan oleh penguraian yang salah dari nama file header RFC2231 multiline, yang dapat memungkinkan penyerang jarak jauh mengirimkan lampiran eksekusi berbahaya ke kotak surat pengguna akhir dengan menghindari $mime_nama_file mekanisme perlindungan pemblokiran ekstensi.
“Jika pengguna mengunduh atau menjalankan salah satu file berbahaya ini, sistemnya bisa saja disusupi,” Censys memperingatkan, seraya menambahkan bahwa “PoC sudah tersedia, tetapi belum ada eksploitasi aktif yang diketahui.”
“Hingga 10 Juli 2024, Censys mengamati 1.567.109 server Exim yang terekspos ke publik menjalankan versi yang berpotensi rentan (4.97.1 atau sebelumnya), sebagian besar terkonsentrasi di Amerika Serikat, Rusia, dan Kanada,” kata perusahaan tersebut. ditambahkan.
Meskipun penerima email tetap perlu meluncurkan lampiran berbahaya agar dapat terpengaruh, kelemahan tersebut memungkinkan pelaku ancaman untuk melewati pemeriksaan keamanan berdasarkan ekstensi file. Hal ini memungkinkan mereka untuk mengirimkan file berisiko yang biasanya diblokir, seperti file yang dapat dieksekusi, ke kotak surat target mereka.
Admin yang tidak dapat segera memutakhirkan Exim disarankan untuk membatasi akses jarak jauh ke server mereka dari Internet untuk memblokir upaya eksploitasi yang masuk.
Jutaan server terekspos secara online
Server MTA, seperti Exim, sering menjadi sasaran serangan karena hampir selalu dapat diakses melalui Internet, sehingga memudahkan mereka menemukan titik masuk potensial ke jaringan target.
Exim juga merupakan MTA bawaan Debian Linux dan merupakan perangkat lunak MTA paling populer di dunia, berdasarkan survei server email dari awal bulan ini.
Menurut survei, lebih dari 59% dari 409.255 server email yang dapat dijangkau di Internet selama survei menjalankan Exim, yang mewakili lebih dari 241.000 contoh Exim.
Juga, menurut sebuah Pencarian Shodanlebih dari 3,3 juta server Exim saat ini terekspos secara daring, sebagian besar di Amerika Serikat, diikuti oleh Rusia dan Belanda. Censys menemukan 6.540.044 server email yang dapat diakses publik daring, 4.830.719 (sekitar 74%) menjalankan Exim.
Badan Keamanan Nasional (NSA) terungkap pada bulan Mei 2020 bahwa kelompok peretas militer Rusia yang terkenal Sandworm telah mengeksploitasi kelemahan kritis CVE-2019-10149 Exim (dijuluki Kembalinya Sang Penyihir) setidaknya sejak Agustus 2019.
Baru-baru ini, pada bulan Oktober, pengembang Exim menambal tiga zero-day diungkapkan melalui Zero Day Initiative (ZDI) Trend Micro, salah satunya (CVE-2023-42115) mengekspos jutaan server Exim yang terekspos Internet terhadap serangan RCE pra-otorisasi.
