พบช่องโหว่ Bypasses Security ใน Exim Mail Servers กว่า 1.5 ล้านรายการ

ช่องโหว่ Security Bypass ใน Exim Mail Servers ส่งผลกระทบกับระบบกว่า 1.5 ล้านรายการ

Censys แจ้งเตือนการพบ Exim mail transfer agent (MTA) instances กว่า 1.5 ล้านรายการที่มีช่องโหว่ ซึ่งทำให้ Hacker สามารถ bypass security filter ได้

CVE-2024-39929 (คะแนน CVSS 5.4/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ที่เกิดจากการ parsing ของ multiline RFC2231 header filename ไม่ถูกต้อง ทำให้ Hacker สามารถส่งไฟล์แนบ executable ที่เป็นอันตรายไปยัง mailbox ของผู้ใช้ปลายทางได้ด้วยการ bypass กลไกการป้องกัน $mime_filename extension-blocking protection เพื่อโจมตีระบบ โดยส่งผลกระทบต่อ Exim 4.97.1 หรือเวอร์ชันก่อนหน้า โดยการโจมตีช่องโหว่ CVE-2024-39929 พบว่ามีเป้าหมายส่วนใหญ่อยู่ในสหรัฐอเมริกา, รัสเซีย และแคนาดา

แม้ว่าเป้าหมายจะต้องเปิดอ่านอีเมลที่แนบไฟล์อันตรายเพื่อทำการโจมตี แต่การใช้ช่องโหว่ดังกล่าวในการโจมตีจะทำให้ Hacker สามารถ bypass การตรวจสอบความปลอดภัยโดยอิงตามนามสกุลไฟล์ได้ ทำให้สามารถส่งไฟล์อันตรายที่ปกติจะถูก Block เช่น ไฟล์ executable และส่งไปยัง mailbox ของเป้าหมายได้

Exim Mail Servers หลายล้านรายการบนอินเทอร์เน็ต

MTA servers เช่น Exim มักตกเป็นเป้าหมายในการโจมตี เนื่องจากสามารถเข้าถึงได้จากอินเทอร์เน็ต และสามารถเข้าถึงได้เกือบตลอดเวลา ทำให้สามารถใช้ในการโจมตีเพื่อเข้าถึงเครือข่ายได้ง่าย

Exim ยังเป็น default Debian Linux MTA และเป็น MTA software ที่ได้รับความนิยมมากที่สุดในโลก โดยอิงจากผลสำรวจ mail server ประจำปี 2024 จากการสำรวจ พบว่ามี mail servers จำนวน 409,255 รายการ ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยมีมากกว่า 59% ที่ใช้ Exim และนอกเหนือจาก Exim instances เพียง 241,000 รายการ

จากการค้นหาของ Shodan พบว่ามี Exim servers กว่า 3.3 ล้านเครื่อง ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา รองลงมาคือรัสเซีย และเนเธอร์แลนด์ รวมถึง Censys ที่พบ mail servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต 6,540,044 รายการ โดย 4,830,719 เครื่อง (ประมาณ 74%) ใช้งาน Exim

ปัจจุบันได้มีการเปิดเผยชุดสาธิตการโจมตี หรือ PoC ออกมาแล้ว แต่ยังไม่พบรายงานการโจมตี โดย Exim ได้แจ้งเตือนให้ผู้ดูแลระบบทำการอัปเดตโดยด่วน รวมถึงหากไม่สามารถอัปเดตได้ในทันที แนะนำให้ทำการจำกัดการเข้าถึง mail servers จากอินเทอร์เน็ต เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

สำนักงานความมั่นคงแห่งชาติ (NSA) เปิดเผยรายงานในเดือนพฤษภาคม 2020 ว่าพบกลุ่ม Hacker ชื่อดังจากรัสเซียที่ชื่อว่า Sandworm ได้ใช้ช่องโหว่ระดับ Critical ใน Exim หมายเลข CVE-2019-10149 (The Return of the WIZard) ในการโจมตีเป้าหมายมาตั้งแต่เดือนสิงหาคม 2019

ล่าสุดในเดือนตุลาคม 2023 นักพัฒนา Exim ได้แก้ไขช่องโหว่ zero-days จำนวน 3 รายการ ที่เปิดเผยผ่านทาง Zero Day Initiative (ZDI) ของ Trend Micro โดยหนึ่งในนั้นคือช่องโหว่ CVE-2023-42115 ซึ่งส่งผลต่อ Exim servers ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวนหลายล้านเครื่องถูกโจมตีจากช่องโหว่ pre-auth RCE

ที่มา : bleepingcomputer