Mais de um 1,5 milhão de servidores de e-mail que usam o Exim podem estar vulneráveis à um ataque que permite o envio de arquivos executáveis no sistema afetado, informaram pesquisadores de segurança.

Catalogada como CVE-2024-39929 e classificada na gravidade de 9,1 (que vai até 10), a vulnerabilidade torna fácil para atacantes contornar as proteções que normalmente impedem o envio de anexos que possam instalar algo ou executar algum tipo de código. Essas proteções são a primeira linha de defesa contra e-mails maliciosos criados para instalar malware nos dispositivos (smartphone ou computadores/notebooks) dos usuários.

Um sério problema de segurança no Exim

Posso confirmar esse bug“, escreveu Heiko Schlittermann, membro do time que projetou o Exim, em um site de rastreamnento de bugs. “Parece um sério problema de segurança para mim“.

Pesquisadores da empresa de segurança Censys, disseram no dia 10 de julho de 2024 que dos mais 6,5 milhões de servidores de e-mail SMTP públicos que aparecem em varreduras da Internet, 4,8 milhões deles (cerca de 74%) rodam alguma versão do Exim. Mais de 1,5 milhão destes servidores, ou cerca de 31%, estão usando alguma versão vulnerável do Exim.

Embora não existam relatos de alguma exploração ativa da vulnerabilidade, não seria novidade se aparecerem ataques ativos, dada a facilidade dos ataques e o grande número de servidores vulneráveis.

Ocorreu um outro ataque em 2019
Vulnerabilidade no Exim permite o anexo de arquivos maliciosos
Créditos da imagem: https://www.swissinfo.ch/eng/business/kremlin-linked-businessman-faces-us-trial-for-hack-and-trade-scheme/48244414

Em 2020, um grupo conhecido de hackers, o Sandworm, apoiado pelo Kremlin, explorou uma vulnerabilidade grave do Exim, identificada como CVE-2019-10149, que lhes permitiu enviar e-mails que executassem código malicioso com direitos do usuário root do sistema. Estes ataques começaram em agosto de 2019, dois meses depois que a vulnerabilidade ficou conhecida. Continuaram até pelo menos maio de 2020.

Versões afetadas e correção para a nova vulnerabilidade

A vulnerabilidade do CVE-2024-39929 decorre de um erro na forma como o Exim analisa os cabeçalhos multilinha conforme especificado na RFC-2231. Os atacantes podem explorá-la para contornar o bloqueio de extensões e anexar executáveis em e-mails enviados. A vulnerabilidade existe em todas as versões do Exim até a 4.97.1. Uma correção está disponíveis no Release Candidate 3 do Exim 4.98.

Como o usuário precisa clicar em um executável anexado para que o ataque funcione, esta vulnerabilidade do Exim não é tão grave como a que foi explorada em 2019.

O ataque de engenharia social continua sendo o mais utilizado nestes casos, de forma a tentar convencer a vítima a clicar em um anexo. De qualquer forma, os administradores de ambientes que utilizem o Exim vulnerável devem dar uma alta prioridade à atualização para a versão mais recente.

Créditos:

https://arstechnica.com/security/2024/07/more-than-1-5-million-email-servers-running-exim-vulnerable-to-critical-attacks

Crédito da imagem usada na capa do post

https://www.lifewire.com/that-sudden-zip-file-in-the-email-thread-could-be-malware-5649730

Veja notícias sobre vulnerabilidades:

https://www.canalhacker.com.br/conteudo/vulnerabilidades

Como está se sentindo?

Muito Feliz
1
Feliz
0
Apaixonado(a)
0
Não tenho certeza
0
Bobagem
0
Canal Hacker
Me chamo Ricardo Maganhati e sou o criador do site Canal Hacker.

You may also like