Более 1,5 млн серверов, на которых работает агент пересылки сообщений Exime, уязвимы перед новым критическим багом. С помощью этой проблемы злоумышленники могут обойти защиту и доставить в почтовые ящики пользователей вложения, которые устанавливают приложения или выполняют произвольный код.
Как предупредили разработчики, все версии Exim (до 4.97.1 включительно) подвержены критической уязвимости CVE-2024-39929, которая получила 9,1 балла по шкале CVSS. Этот баг позволяет атакующим обойти защиту, которая обычно предотвращает отправку опасных вложений. Фактически такие защитные механизмы являются первой линией обороны от вредоносных писем, предназначенных для установки малвари на устройства конечных пользователей.
Специалисты компании Censys предупреждают, что среди более чем 6,5 млн почтовых SMTP-серверов, обнаруженных в ходе интернет-сканирования, 4,8 млн работают под управлением Exim. При этом более 1,5 млн серверов (примерно 31%) уязвимы перед свежей проблемой.
CVE-2024-39929 связана с тем, как Exim парсит многострочные заголовки, описанные в RFC 2231. Злоумышленники могут использовать этот баг для обхода блокировки конкретных расширений и добавлять исполняемые вложения в свои письма, отправляемые конечным пользователям.
С учетом того, что для срабатывания атаки пользователь должен кликнуть на вложенный исполняемый файл, уязвимость в Exim не так серьезна, как проблема CVE-2019-10149, которая массово эксплуатировалась хакерами с 2019 года. Однако социальная инженерия по-прежнему остается одним из самых эффективных методов атак, поэтому администраторам рекомендуется применить исправление, которое уже доступно в составе Release Candidate 3 Exim 4.98.
