Seguridad y protección del correo electrónico, gestión del fraude y delitos cibernéticos, gobernanza y gestión de riesgos Casi 5 millones de servidores pueden verse afectados, solo 82 han sido parcheadosPrajeet Nair (@prajeetspeaks) • 13 de julio de 2024 Los administradores han tardado en parchear una vulnerabilidad crítica en Exim Mail Transfer Agent que podría permitir a los actores de amenazas eludir los filtros de seguridad del correo electrónico y enviar archivos adjuntos maliciosos directamente a las bandejas de entrada de los usuarios. Ver también: SASE unificado: la tercera era de la seguridad de la red Exim, un MTA ampliamente utilizado en sistemas operativos tipo Unix, presta servicio a aproximadamente el 74% de los 6,54 millones de servidores de correo SMTP públicos visibles para Censys. La empresa de seguridad dijo que 4,83 millones de servidores Exim podrían ser vulnerables, con concentraciones significativas en Estados Unidos, Rusia y Canadá. Hasta ahora, solo 82 servidores públicos se han actualizado a la versión parcheada, Exim 4.98, dijeron los investigadores. La vulnerabilidad, identificada como CVE-2024-39929 con una puntuación CVSS de 9,1, se origina en un error en el análisis de los encabezados RFC 2231. Esta falla podría permitir a los atacantes remotos evadir las medidas de bloqueo de las extensiones de nombre de archivo, lo que permite que los archivos adjuntos ejecutables lleguen a los usuarios finales. Si los usuarios descargan o ejecutan estos archivos adjuntos, sus sistemas podrían verse comprometidos. Censys reveló esta vulnerabilidad el 4 de julio y detalló su impacto potencial en un aviso del 10 de julio. La falla afecta a las versiones de Exim hasta la 4.97.1 inclusive. Existe una prueba de concepto para explotar esta vulnerabilidad, aunque hasta ahora no se conocen casos de explotación activa. Pero los investigadores advirtieron que el uso generalizado de Exim MTA podría convertirlo en un objetivo principal. Los actores cibernéticos rusos del Centro Principal de Tecnologías Especiales de GRU, especialmente Sandworm, son conocidos por explotar vulnerabilidades en el software del agente de transferencia de correo de Exim para tomar el control de los servidores de correo. Esta táctica se ha utilizado al menos desde abril de 2019, informó la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. en 2020. (Ver: Miles de servidores Exim vulnerables a falla crítica: informe). Los investigadores aconsejaron a los administradores que priorizaran la actualización a Exim 4.98 para mitigar esta amenaza. El parche, que corrige la vulnerabilidad, se puede encontrar en el repositorio de GitHub de Exim. Censys proporciona consultas para identificar instancias Exim potencialmente vulnerables, lo que ayuda a los administradores a detectar y abordar rápidamente esta falla crítica. Censys también ofreció dos consultas principales para identificar servidores Exim expuestos que ejecutan versiones vulnerables: Consulta de búsqueda de Censys: services.software: (product=”exim” y version: [* to 4.97.1]) Consulta de Censys ASM: host.services.software: (producto=”exim” y versión: [* to 4.97.1]) o web_entity.instances.software: (producto=”exim” y versión: [* to 4.97.1]) Para mitigar el riesgo, los administradores deben garantizar actualizaciones oportunas del software MTA para mantener una seguridad de correo electrónico sólida y evitar posibles infracciones. Las organizaciones que utilizan Exim también deben revisar el aviso, actualizar sus sistemas y utilizar las consultas proporcionadas para evaluar su exposición. URL de la publicación original: https://www.databreachtoday.com/millones-de-servidores-exim-aun-expuestos-a-una-falla-critica-a-25763