Una grave vulnerabilità di sicurezza è stata recentemente scoperta nel mail transfer agent Exim, che potrebbe consentire agli attori malintenzionati di consegnare allegati maligni alle caselle di posta degli utenti target.
Dettagli della Vulnerabilità
La vulnerabilità, identificata come CVE-2024-39929, ha ottenuto un punteggio CVSS di 9.1 su 10.0, indicando un livello di gravità elevato. Il problema è stato risolto nella versione 4.98 di Exim. Secondo la descrizione fornita nel National Vulnerability Database (NVD) degli Stati Uniti, Exim fino alla versione 4.97.1 interpreta in modo errato un’intestazione multilinea RFC 2231 filename, permettendo agli attaccanti remoti di bypassare il meccanismo di protezione $mime_filename extension-blocking e potenzialmente consegnare allegati eseguibili alle caselle di posta degli utenti finali.
Exim è un mail transfer agent gratuito utilizzato in host che eseguono sistemi operativi Unix o simili a Unix. Rilasciato per la prima volta nel 1995 per l’Università di Cambridge, Exim è ampiamente utilizzato. L’azienda di gestione della superficie di attacco Censys ha rivelato che 4.830.719 dei 6.540.044 server SMTP pubblicamente accessibili eseguono Exim. Al 12 luglio 2024, 1.563.085 server Exim accessibili via internet utilizzano una versione potenzialmente vulnerabile (4.97.1 o precedente).
Distribuzione geografica e impatto
La maggior parte delle istanze vulnerabili si trova negli Stati Uniti, in Russia e in Canada. La vulnerabilità permette a un attaccante remoto di bypassare le misure di protezione del blocco delle estensioni dei file e di consegnare direttamente gli allegati eseguibili alle caselle di posta degli utenti finali. Se un utente dovesse scaricare o eseguire uno di questi file maligni, il sistema potrebbe essere compromesso.
Tuttavia, affinché l’attacco abbia successo, i target devono fare clic su un allegato eseguibile. Sebbene non vi siano segnalazioni di sfruttamento attivo della falla, è essenziale che gli utenti applichino rapidamente le patch per mitigare potenziali minacce.
Questa scoperta arriva quasi un anno dopo che i manutentori del progetto avevano affrontato un insieme di sei vulnerabilità in Exim che potevano provocare la divulgazione di informazioni e l’esecuzione di codice remoto.
