针对超过千万服务器存在的Exim漏洞让攻击者有机会嵌入恶意文件

标题：GIRD YOUR LOINS — Exim漏洞影响逾千万服务器，攻击者可利用恶意文件发起攻击
日期：北京时间七月十一日，作者：Dan Goodin
据安全研究人员称，超过一千五百万封电子邮件服务器面临漏洞风险，该漏洞可能会被攻击者利用向用户账户发送可执行附件。这些服务器运行着存在漏洞的Exim邮件传输代理版本，该漏洞于十天前被发现。该漏洞编号为CVE-2024-39929，严重性评级为9.1（满分10级），威胁行为者可以轻易地绕过通常用于阻止发送恶意附件的保护措施。这些保护措施是抵御旨在在用户设备上安装恶意软件的恶意电子邮件的第一道防线。
Exim项目团队成员Heiko Schlittermann在bug跟踪网站上写道：“我可以确认这个bug。”他认为这是一个严重的安全问题。安全公司Censys的研究人员在周三表示，在超过六千五百万个面向公众的SMTP电子邮件服务器中，有百分之七十四的服务器运行着Exim软件。其中超过一千五百万台Exim服务器（约占百分之三十一）正在运行易受攻击的开源邮件应用程序版本。
这项漏洞源于Exim解析RFC 2231指定的多行报头时的错误。威胁行为者可以利用这个漏洞绕过扩展阻止，并在发送给最终用户的电子邮件中提供可执行附件。所有截至并包括4.97.1版本的Exim都存在此漏洞。修复程序已在Exim 4.98的Release Candidate 3中可用。
尽管要求最终用户必须点击附件中的可执行文件才能使攻击生效，但这个Exim漏洞并不像始于2019年遭到利用的漏洞那样严重。尽管如此，利用社会工程学手段仍然是最有效的攻击方法之一。管理员应将升级到最新版本作为首要任务。
尽管目前还没有关于这一漏洞的活跃利用报告，但由于攻击简单易行且存在大量易受攻击的服务器，因此看到活跃的目标攻击也不会令人惊讶。在2020年，世界上最强大的黑客组织之一——克里姆林宫支持的Sandworm——利用了一个名为CVE-2019-10149的严重Exim漏洞，该漏洞允许他们发送带有无限制根系统权限的恶意代码的电子邮件。攻击始于漏洞公开的两个月后（即2019年八月），至少持续到次年五月。因此，对于企业和组织来说，及时更新其邮件系统是至关重要的。尽管这个新漏洞可能不像以前的某些漏洞那样严重，但忽视任何已知的漏洞都是不明智的。管理员应保持警惕并及时修补任何已知的安全隐患，以确保系统和数据的完整性和安全性。