Cacat mailer Exim baru yang kritis memungkinkan eksekusi kode jarak jauh

Kerentanan kritis yang memengaruhi konfigurasi tertentu agen transfer email sumber terbuka Exim dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer.

Diidentifikasi sebagai CVE-2026-45185masalah keamanan ini berdampak pada beberapa versi Exim sebelum 4.99.3 yang menggunakan pustaka GNU Transport Layer Security (GnuTLS) default untuk komunikasi yang aman. Ini adalah kelemahan user-after-free (UAF) yang dipicu selama penghentian TLS saat menangani lalu lintas SMTP potongan BDAT.

Exim membebaskan buffer transfer TLS tetapi kemudian terus menggunakan referensi panggilan balik basi yang dapat menulis data ke wilayah memori yang dibebaskan, yang dapat menyebabkan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi.

Exim adalah agen transfer surat (MTA) sumber terbuka yang digunakan secara luas yang digunakan untuk mengirim, menerima, dan merutekan email di server Linux dan Unix. Ini digunakan di server Linux, di lingkungan hosting bersama, sistem email perusahaan, dan pada distribusi berbasis Debian dan Ubuntu, yang secara historis merupakan server email default.

CVE-2026-45185 ditemukan dan dilaporkan oleh peneliti XBOW Federico Kirschbaum. Ini berdampak pada Exim versi 4.97 hingga 4.99.2 pada build yang dikompilasi dengan GnuTLS yang memiliki STARTTLS dan CHUNKING yang diiklankan. Build berbasis OpenSSL tidak terpengaruh.

Penyerang yang mengeksploitasi kerentanan dapat menjalankan perintah di server serta mengakses data dan email Exim, dan berpotensi beralih lebih jauh ke dalam lingkungan tergantung pada izin dan konfigurasi server.

XBOW melaporkan kerentanan kepada pengelola Exim pada tanggal 1 Mei dan menerima pengakuan pada tanggal 5 Mei. Distribusi Linux yang terkena dampak diberitahukan tiga hari kemudian.

Perbaikan untuk CVE-2026-45185 dirilis pada Versi eksim 4.99.3.

Pembuatan eksploitasi yang dibantu AI

XBOW melaporkan bahwa menciptakan eksploitasi bukti konsep (PoC) merupakan tantangan tujuh hari antara sistem pengembangan otonom berbasis AI milik perusahaan, XBOW Native, dan peneliti manusia yang dibantu oleh model bahasa besar.

Sementara XBOW Native berhasil menghasilkan eksploitasi yang berfungsi untuk server Exim target yang disederhanakan yang tidak memiliki pengacakan Tata Letak Ruang Alamat (ASLR) dan biner non-PIE (Position Independent Executables).

Dalam upaya kedua, LLM mencapai eksploitasi pada mesin dengan ASLR, tetapi masih berupa biner non-PIE.

“[…] alih-alih terus menyerang pengalokasi glibc dengan mekanisme siap pakai, XBOW Native telah mengambil pengalokasi Exim sendiri,” kata peneliti XBOW.

Terlepas dari hasil yang mengejutkan di bawah ini, peneliti manusialah yang memenangkan perlombaan, dengan bantuan dari LLM untuk tugas-tugas seperti merakit file dan menguji jalur eksploitasi.

Meskipun peneliti mengakui kecepatan LLM yang mengesankan, mereka menyadari perlunya membentuk lingkungan kerja daripada membiarkan model menciptakan ruangnya sendiri.

“Sejujurnya, menurut saya LLM saja belum siap untuk melakukan eksploitasi terhadap perangkat lunak dunia nyata. Setelah pengalaman ini, menurut saya LLM dapat memecahkan sesuatu yang berbentuk CTF, namun saya tidak melihat mereka mencapai tingkat target produksi sebenarnya.”

Namun, peneliti mengakui peran penting alat AI dalam membantu manusia memahami kode asing dan menggali lebih dalam area mencurigakan dengan lebih cepat dibandingkan tanpa alat tersebut.

Untuk memitigasi risiko, pengguna distribusi Linux berbasis Ubuntu dan Debian harus menerapkan pembaruan Exim yang tersedia (v4.99.3) melalui manajer paket mereka.