这些服务器运行的是易受严重漏洞影响的Exim邮件传输代理版本,这个关键漏洞在十天前曝光。被追踪为CVE-2024-39929的漏洞,其严重等级为10分中的9.1分,意味着威胁分子可以轻而易举地绕过通常阻止发送安装应用或执行代码附件的安全防护。这类防护措施是抵御旨在在终端设备上安装恶意软件的恶意邮件的第一道防线。
一个重大的安全问题
Exim项目团队成员Heiko Schlittermann在漏洞追踪网站上写道:“我可以确认这个漏洞,我认为这看起来是一个重大的安全问题。”网络安全公司Censys的研究人员周三表示,在互联网扫描中显现的超过650万台面向公众的SMTP邮件服务器中,有480万台(大约占74%)运行的是Exim。
在这480万台Exim服务器中,有超过150万台,也就是大约31%,正在运行易受攻击的开源邮件应用版本。换句话说,互联网上每三台使用Exim的邮件服务器中,就有一台存在这个严重的安全漏洞,这让攻击者有机可乘,可能利用这些服务器向用户的邮箱发送携带恶意软件的邮件。
这个问题凸显了及时更新软件和应用最新安全补丁的重要性,以防止潜在的网络威胁。尽管目前尚未有已知的报告证实该漏洞正在被积极利用,但考虑到攻击的简易程度以及存在漏洞的服务器数量庞大,出现针对性攻击并不会令人惊讶。
2020年,全球最强大的黑客组织之一——克里姆林宫支持的“沙虫”(Sandworm)——就曾利用编号为CVE-2019-10149的严重Exim漏洞,该漏洞使他们能够发送带有恶意代码的邮件,这些代码以无限制的root系统权限运行。攻击始于2019年8月,即漏洞曝光两个月后,至少持续至2020年5月。
CVE-2024-39929源于Exim在解析RFC 2231规范中规定的多行头部信息时的错误。威胁行为者可以利用这一漏洞绕过扩展阻止,并在发送给最终用户的邮件中附带可执行附件。该漏洞存在于所有直到并包括4.97.1版本的Exim版本中。
在Exim 4.98的发布候选版3中,修复了此问题。由于攻击生效要求终端用户必须点击附带的可执行文件,因此与2019年开始被利用的那个Exim漏洞相比,本次的漏洞并不那么严重。不过,利用社会工程学欺骗用户仍然是最有效的攻击手段之一。管理员应当给予高优先级来更新至最新版本,以应对这一安全威胁。