(https://i.postimg.cc/2jhMbTR8/Email.png) (https://postimages.org/)
Los atacantes pueden aprovechar una falla de seguridad crítica, rastreada como CVE-2024-39929 ( puntaje CVSS de 9.1 ), en el agente de transferencia de correo Exim para enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.
Exim es un agente de transferencia de correo (MTA) ampliamente utilizado diseñado para enrutar, entregar y recibir mensajes de correo electrónico. Desarrollado inicialmente para sistemas tipo Unix, Exim es conocido por su flexibilidad y capacidad de configuración, lo que permite a los administradores personalizar ampliamente su comportamiento a través de archivos de configuración.
Las versiones de Exim hasta 4.97.1 se ven afectadas por una vulnerabilidad que malinterpreta los nombres de archivos de encabezado RFC 2231 multilínea. Esta falla permite a atacantes remotos eludir la protección de bloqueo de extensión $mime_filename, entregando potencialmente archivos adjuntos ejecutables a los buzones de correo de los usuarios.
La vulnerabilidad, rastreada como CVE-2024-39929, tiene una puntuación CVSS de 9,1 sobre 10,0. Se ha solucionado en la versión 4.98.
"Exim hasta 4.97.1 analiza erróneamente un nombre de archivo de encabezado RFC 2231 multilínea y, por lo tanto, atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente entregar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales", se lee en el aviso.
Según la empresa de seguridad cibernética Censys, hay 6.540.044 servidores de correo SMTP públicos y 4.830.719 (~74%) ejecutan Exim.
Los investigadores de Censys afirman que existe una prueba de concepto (PoC) para este problema, pero aún no se conocen explotaciones activas.
"Al 10 de julio de 2024, Censys observa 1.567.109 servidores Exim expuestos públicamente que ejecutan una versión potencialmente vulnerable (4.97.1 o anterior), concentrados principalmente en Estados Unidos, Rusia y Canadá. Hasta ahora, 82 servidores públicos muestran indicios de ejecutar una versión parcheada de 4.98".
La firma publicó un conjunto de consultas que permiten identificar instancias Exim públicas visibles para Censys que ejecutan versiones potencialmente vulnerables afectadas por este CVE.
Fuente:
SecurityAffairs
https://securityaffairs.com/165649/hacking/critical-flaw-exim-mta.html