Falha Crítica no Exim
15 de Julho de 2024

A Censys alerta que mais de 1,5 milhão de instâncias do agente de transferência de e-mail Exim (MTA) estão desatualizadas contra uma vulnerabilidade crítica que permite a atores de ameaças contornar filtros de segurança.

Rastreada como CVE-2024-39929 e corrigida pelos desenvolvedores do Exim na quarta-feira, a falha de segurança afeta as versões do Exim até e incluindo a versão 4.97.1.

A vulnerabilidade deve-se à análise incorreta de nomes de arquivos de cabeçalho RFC2231 multilinha, o que pode permitir que atacantes remotos entreguem anexos executáveis maliciosos nas caixas de correio dos usuários finais, contornando o mecanismo de proteção de bloqueio de extensão $mime_filename.

"Se um usuário baixar ou executar um desses arquivos maliciosos, o sistema pode ser comprometido", alertou a Censys, acrescentando que "um PoC está disponível, mas ainda não se conhece exploração ativa."

"Até 10 de julho de 2024, a Censys observa 1.567.109 servidores Exim expostos publicamente executando uma versão potencialmente vulnerável (4.97.1 ou anterior), concentrados principalmente nos Estados Unidos, Rússia e Canadá", acrescentou a empresa.

Embora os destinatários de e-mail ainda precisem iniciar o anexo malicioso para serem afetados, a falha permite que atores de ameaças contornem verificações de segurança baseadas em extensões de arquivo.

Isso permite entregar arquivos arriscados que normalmente são bloqueados, como executáveis, nas caixas de correio de seus alvos.

Administradores que não podem atualizar o Exim imediatamente são aconselhados a restringir o acesso remoto aos seus servidores da Internet para bloquear tentativas de exploração recebidas.

Servidores MTA, como o Exim, são frequentemente alvos de ataques porque estão quase sempre acessíveis via Internet, tornando-os alvos fáceis de encontrar pontos de entrada potenciais na rede de um alvo.

O Exim também é o MTA padrão do Debian Linux e é o software de MTA mais popular do mundo, com base em uma pesquisa de servidores de correio deste mês.

Segundo a pesquisa, mais de 59% dos 409.255 servidores de correio acessíveis na Internet durante a pesquisa estavam executando o Exim, representando pouco mais de 241.000 instâncias de Exim.

Além disso, segundo uma pesquisa no Shodan, mais de 3,3 milhões de servidores Exim estão atualmente expostos on-line, a maioria nos Estados Unidos, seguida pela Rússia e pelos Países Baixos.

A Censys encontrou 6.540.044 servidores de correio de frente para o público on-line, 4.830.719 (aproximadamente 74%) executando o Exim.

​A Agência de Segurança Nacional (NSA) revelou em maio de 2020 que o notório grupo de hacking militar russo Sandworm vem explorando uma falha crítica do Exim CVE-2019-10149 (apelidada de The Return of the WIZard) desde pelo menos agosto de 2019.

Mais recentemente, em outubro, os desenvolvedores do Exim corrigiram três zero-days divulgados através da Iniciativa Zero Day (ZDI) da Trend Micro, um deles ( CVE-2023-42115 ) expondo milhões de servidores Exim expostos na Internet a ataques de RCE pré-autenticação.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...