Компания Censys сообщила о критической уязвимости в агенте передачи почты (MTA) Exim, затрагивающей более 1,5 миллиона серверов. Уязвимость, отслеживаемая как CVE-2024-39929, позволяет злоумышленникам обходить фильтры безопасности и доставлять вредоносные вложения в почтовые ящики пользователей.
Проблема обнаружена в версиях Exim до 4.97.1 включительно и связана с некорректной обработкой многострочных имен файлов заголовков RFC2231. Это позволяет обойти механизм защиты $mime_filename, блокирующий опасные расширения файлов.
Хотя активной эксплуатации пока не зафиксировано, Censys предупреждает о наличии доступного proof-of-concept (PoC). Наибольшее количество потенциально уязвимых серверов находится в США, России и Канаде.
Exim является самым популярным MTA в мире, используемым на 59% доступных в интернете почтовых серверов. По данным Shodan, в сети открыто более 3,3 миллиона серверов Exim.
Администраторам рекомендуется немедленно обновить Exim или ограничить удаленный доступ к серверам для защиты от возможных атак. Ранее уязвимости в Exim уже использовались хакерскими группами, включая российскую группу Sandworm.