Censys avertit que plus de 1,5 million d’instances d’agent de transfert de messagerie (MTA) Exim ne sont pas corrigées contre une vulnérabilité critique qui permet aux auteurs de menaces de contourner les filtres de sécurité.
Suivie sous la référence CVE-2024-39929 et corrigée par les développeurs d’Exim mercredi, la faille de sécurité affecte les versions d’Exim jusqu’à la version 4.97.1 incluse.
La vulnérabilité est due à une analyse incorrecte des noms de fichiers d’en-tête multilignes RFC2231, qui peut permettre à des attaquants distants de fournir des pièces jointes exécutables malveillantes dans les boîtes aux lettres des utilisateurs finaux en contournant le mécanisme de protection bloquant l’extension mim mime_filename.
« Si un utilisateur téléchargeait ou exécutait l’un de ces fichiers malveillants, le système pourrait être compromis », a averti Censys, ajoutant qu ‘ » un PoC est disponible, mais aucune exploitation active n’est encore connue. »
« Au 10 juillet 2024, Censys observe 1 567 109 serveurs Exim exposés publiquement exécutant une version potentiellement vulnérable (4.97.1 ou antérieure), concentrés principalement aux États-Unis, en Russie et au Canada », a ajouté la société.
Alors que les destinataires des e-mails devront toujours lancer la pièce jointe malveillante pour être affectés, la faille permet aux acteurs de la menace de contourner les contrôles de sécurité basés sur les extensions de fichier. Cela leur permet de livrer des fichiers risqués qui sont normalement bloqués, tels que des exécutables, dans les boîtes aux lettres de leurs cibles.
Il est conseillé aux administrateurs qui ne peuvent pas mettre à niveau immédiatement Exim de restreindre l’accès à distance à leurs serveurs depuis Internet pour bloquer les tentatives d’exploitation entrantes.
Des millions de serveurs exposés en ligne
Les serveurs MTA, tels que Exim, sont souvent la cible d’attaques car ils sont presque toujours accessibles via Internet, ce qui leur permet de trouver facilement des points d’entrée potentiels dans le réseau d’une cible.
Exim est également le MTA Debian Linux par défaut et est le logiciel MTA le plus populaire au monde, basé sur une enquête sur les serveurs de messagerie du début du mois.
Selon l’enquête, plus de 59% des 409 255 serveurs de messagerie accessibles sur Internet pendant l’enquête exécutaient Exim, ce qui représente un peu plus de 241 000 instances Exim.
De plus, selon une recherche de Shodan, plus de 3,3 millions de serveurs Exim sont actuellement exposés en ligne, la plupart aux États-Unis, suivis de la Russie et des Pays-Bas. Censys a trouvé 6 540 044 serveurs de messagerie publics en ligne, 4 830 719 (environ 74%) exécutant Exim.
L’Agence de sécurité nationale (NSA) a révélé en mai 2020 que le tristement célèbre groupe de piratage militaire russe Sandworm exploitait une faille critique CVE-2019-10149 Exim (surnommée Le Retour du Sorcier) depuis au moins août 2019.
Plus récemment, en octobre, les développeurs d’Exim ont corrigé trois zero-days divulgués via la Zero Day Initiative (ZDI) de Trend Micro, l’un d’eux (CVE-2023-42115) exposant des millions de serveurs Exim exposés à Internet à des attaques RCE préauthentiques.