Több mint 1,5 millió e-mail szerver sebezhető a támadásokkal szemben
Több mint 1,5 millió e-mail szerver sebezhető a támadásokkal szemben, amelyek végrehajtható mellékleteket képesek küldeni a felhasználói fiókokba – közölték a biztonsági kutatók. Ezek a szerverek az Exim mail transfer agent azon verzióit futtatják, amelyek sebezhetőek egy kritikus sérülékenységgel szemben, amely tíz nappal ezelőtt került napvilágra. A CVE-2024-39929 néven nyilvántartott és 9,1-es súlyossági besorolással rendelkező sérülékenység lehetővé teszi a fenyegetés szereplőinek, hogy megkerüljék azokat a védelmeket, amelyek általában megakadályozzák az alkalmazásokat telepítő vagy kódot végrehajtó mellékletek küldését. Az ilyen védelmek az első védelmi vonalat jelentik a rosszindulatú e-mailekkel szemben, amelyek célja a végfelhasználói eszközök megfertőzése.
Egy komoly biztonsági probléma
„Megerősíthetem ezt a hibát” – írta Heiko Schlittermann, az Exim projektcsapatának tagja egy hibakövető oldalon. „Számomra komoly biztonsági problémának tűnik.”
A Censys biztonsági cég kutatói szerdán közölték, hogy az internetes szkennelésekben megjelenő több mint 6,5 millió nyilvános SMTP e-mail szerverből 4,8 millió (kb. 74 százalék) az Exim-et futtatja. Az Exim szerverek több mint 1,5 milliója, vagyis körülbelül 31 százaléka sebezhető verziót futtat az open source mail app-ból.
Bár egyelőre nem érkeztek jelentések a sérülékenység aktív kihasználásáról, nem lenne meglepő, ha célzott támadások történnének, tekintve a támadások egyszerűségét és a sebezhető szerverek nagy számát. 2020-ban a világ egyik legfélelmetesebb hackercsoportja – a Kreml által támogatott Sandworm – kihasználta az Exim egy súlyos sérülékenységét, amelyet CVE-2019-10149 néven tartottak nyilván. Ez lehetővé tette számukra, hogy olyan e-maileket küldjenek, amelyek rosszindulatú kódot hajtottak végre korlátlan root rendszerjogosultságokkal. A támadások 2019 augusztusában kezdődtek, két hónappal azután, hogy a sebezhetőség napvilágra került. Legalább 2020 májusáig folytatódtak.
A CVE-2024-39929 az Exim hibájából ered, amely a több soros fejléceket az RFC 2231 szerint elemzi. A fenyegetés szereplői ezt kihasználva megkerülhetik a kiterjesztésblokkolást és végrehajtható mellékleteket küldhetnek a végfelhasználóknak. A sérülékenység az összes Exim verzióban létezik, beleértve a 4.97.1 verzióját is. A javítás a 4.98-as verzió Release Candidate 3-ban érhető el.
Tekintve, hogy a támadás végrehajtásához a végfelhasználóknak kattintaniuk kell a csatolt végrehajtható fájlra, ez az Exim sérülékenység nem olyan súlyos, mint az, amelyet 2019-ben kezdtek kihasználni. Mindazonáltal a szociális mérnöki támadások továbbra is a leghatékonyabb támadási módszerek közé tartoznak. Az adminisztrátoroknak magas prioritással kell frissíteniük a legújabb verzióra.
Érdekesség: Az AI-t már alkalmazzák a kiberbiztonsági területen is, például a fenyegetések felismerésére és a támadások előrejelzésére.
Információk forrása: Censys, Exim projektcsapat