Um problema crítico de segurança foi divulgado no agente de transferência de e-mail Exim que pode permitir que agentes de ameaças enviem anexos maliciosos para as caixas de entrada dos usuários-alvo.
A vulnerabilidade, rastreada como CVE-2024-39929, tem uma pontuação CVSS de 9,1 de 10,0. Ela foi corrigida na versão 4.98.
“O Exim através do 4.97.1 analisa incorretamente um nome de arquivo de cabeçalho RFC 2231 multilinha e, portanto, invasores remotos podem ignorar um mecanismo de proteção de bloqueio de extensão $mime_filename e potencialmente entregar anexos executáveis nas caixas de correio dos usuários finais”, de acordo com uma descrição compartilhada no Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD).
Exim é um agente de transferência de e-mail gratuito usado em hosts que executam sistemas operacionais Unix ou similares. Foi lançado pela primeira vez em 1995 para uso na Universidade de Cambridge.
A empresa de gerenciamento de superfície de ataque Censys disse que 4.830.719 dos 6.540.044 servidores de e-mail SMTP voltados ao público estão executando Exim. Em 12 de julho de 2024, 1.563.085 servidores Exim acessíveis pela web estavam executando uma versão potencialmente vulnerável (4.97.1 ou anterior).
A maioria das instâncias vulneráveis está localizada nos EUA, Rússia e Canadá.
“A vulnerabilidade pode permitir que um invasor remoto ignore as medidas de proteção de bloqueio de extensão de nome de arquivo e entregue anexos executáveis diretamente nas caixas de correio dos usuários finais”, observou. “Se um usuário baixar ou executar um desses arquivos maliciosos, o sistema pode ser comprometido.”
Isso também significa que alvos em potencial devem clicar em um executável anexado para que o ataque seja bem-sucedido. Embora não haja relatos de exploração ativa da falha, é essencial que os usuários se movam rapidamente para aplicar os patches para mitigar ameaças potenciais.
O desenvolvimento ocorre quase um ano após os mantenedores do projeto descobrirem um conjunto de seis vulnerabilidades no Exim que podem resultar em divulgação de informações e execução remota de código.
