Censysは、150万を超えるEximメール転送エージェント(MTA)インスタンスに、脅威行為者がセキュリティフィルタをバイパスできる重大な脆弱性に対するパッチが適用されていないと警告している。
CVE-2024-39929として追跡され、水曜日にExim開発者によってパッチが適用されたセキュリティ上の欠陥は、バージョン4.97.1までのEximリリースに影響を与える。
この脆弱性は、複数行の RFC2231 ヘッダーファイル名の不正な解析によるもので、リモートの攻撃者は、$mime_filename拡張子をブロックする保護メカニズムを回避することによって、エンドユーザーのメールボックスに悪意のある実行可能な添付ファイルを配信することができます。
“ユーザーがこれらの悪意のあるファイルをダウンロードまたは実行した場合、システムが侵害される可能性がある “とCensysは警告し、”PoCは利用可能だが、アクティブな悪用はまだ知られていない “と付け加えた。
“2024年7月10日現在、Censysは、潜在的に脆弱なバージョン(4.97.1またはそれ以前)を実行している公に露出した1,567,109のEximサーバを観察しており、主に米国、ロシア、カナダに集中している “と同社は付け加えた。
電子メールの受信者が影響を受けるには、依然として悪意のある添付ファイルを起動する必要があるが、この欠陥により、脅威者はファイル拡張子に基づくセキュリティ・チェックを回避することができる。これにより、実行ファイルなど通常はブロックされる危険なファイルをターゲットのメールボックスに配信することが可能になる。
Eximをすぐにアップグレードできない管理者は、インターネットからサーバーへのリモート・アクセスを制限し、悪用しようとする試みをブロックすることをお勧めします。
何百万ものサーバーがオンラインにさらされる
Exim のような MTA サーバーは、ほとんどの場合インターネット経由でアクセスできるため、標的のネットワークへの潜在的な侵入口を見つけやすく、しばしば攻撃の標的になります。
EximはDebian LinuxのデフォルトのMTAでもあり、今月初めに行われたメールサーバーの調査によると、世界で最も人気のあるMTAソフトウェアである。
この調査によると、調査期間中にインターネット上でアクセス可能だった409,255のメールサーバーのうち59%以上がEximを実行しており、これは241,000強のEximインスタンスに相当する。
また、Shodanの検索によると、現在330万台以上のEximサーバーがオンラインで公開されており、そのほとんどが米国、次いでロシア、オランダとなっている。Censysは、6,540,044の公衆向けメールサーバーがオンラインで公開されており、そのうちの4,830,719(約74%)がEximを実行していることを発見した。
国家安全保障局(NSA)は2020年5月、悪名高いロシアの軍事ハッキンググループ「サンドワーム」が、少なくとも2019年8月以降、Eximの重大な欠陥CVE-2019-10149(The Return of the WIZardと呼ばれている)を悪用していることを明らかにした。
さらに最近では、10月にEximの開発者がTrend MicroのZero Day Initiative(ZDI)を通じて開示された3つのゼロデイにパッチを適用し、そのうちの1つ(CVE-2023-42115)は、インターネットに露出した数百万台のEximサーバーを事前認証RCE攻撃にさらしていた。
Comments