Exim邮件传输代理中的六个零日漏洞影响重大

关键要点

最近发现的六个零日漏洞可能使超过253000台邮件服务器面临风险，其中四个漏洞导致远程代码执行RCE攻击。中心互联网安全CIS警告，未认证的攻击者可以安装程序、查看、修改或删除数据，甚至创建全权用户帐户。Exim通常被认为是一个容易被攻击的目标，导致安装补丁的速度缓慢，因此，组织应立即优先处理补丁问题。

最近在 Exim 邮件传输代理中发现的六个零日漏洞，使得超过 253000 台邮件服务器面临潜在风险，其中四个漏洞可能会导致远程代码执行RCE攻击。

在9月29日的咨询报告中，中心互联网安全CIS表示，未认证的攻击者能够安装程序、查看、修改或删除数据，甚至可以创建拥有完整用户权限的新帐户。

这些零日漏洞在上周末被广泛报道。根据来自Trend Micro 的零数据计划ZDI的报告，他们早在 2022 年 6 月就已告知 Exim 有关该漏洞的情况，并在 2023 年 5 月应供应商请求再次发送了相关信息，但开发者未能提供补丁进展的更新。

这时，ZDI 于 9 月 27 日发布了其咨询报告，但直到两天后在开源安全邮件列表上发布的新闻后才被广泛关注。截至周一，已有三个漏洞发布了补丁。

CIS 描述了最严重的零日漏洞 CVE202342115，这是一个存在于默认监听 TCP 25 端口的 SMPT 服务中的特定缺陷。该问题缘于缺乏对用户提供数据的适当验证，可能导致缓存区溢出。CIS 解释说，攻击者可以利用这一缺陷在服务帐户的上下文中执行代码。

受影响的系统包括 Exim 496 及之前版本，CIS 表示，中型和大型政府机构及企业面临高风险。

Exim 曾在网络安全与基础设施安全局CISA发布的已知利用漏洞KEV目录中列出，因此恶意黑客再次选择 Exim 进行攻击显然是因为以往的响应不够及时。Viakoo Labs 的副总裁约翰加拉赫John Gallagher表示，安全专家应将这些漏洞视为极易被利用的目标。

“这些漏洞是公开的，Exim 发布补丁的速度较慢，设备可通过 Shodan 搜索找到，许多组织将不得不实施补丁。”加拉赫称。“在许多开源项目中，用户并不总是 IT 专业人员，因此 Exim 产品的补丁实施会比较慢，因为许多非IT组织将负责维护这些产品。”

加速器国外永久免费

网络安全公司 Netenrich 的首席威胁猎手约翰班本克John Bambenek补充说，邮件服务器本身就是面向公众的，这使得这些漏洞十分令人担忧，尤其是 RCE 类型的漏洞。

“组织无法关闭邮件服务器，因此他们应立即优先处理补丁，因为广泛利用可能在一两天内开始。”班本克警告道。