A CVE-2024-39929 sérülékenységet a fejlesztők már javították, viszont a korábbi verziók, ideértve a 4.97.1-es verziót is továbbra is érintettek maradtak. A sérülékenység lényegében a többsoros RFC2231 fejléc fájlneveinek helytelen elemzése, aminek segítségével a távoli támadók rosszindulatú futtatható mellékleteket juttathatnak az áldozatok postafiókjaiba a $mime[_]filename kiterjesztés-blokkoló megkerülésével.
A Censys közleménye szerint ha egy felhasználó letöltötte vagy futtatta valamelyik rosszindulatú fájlt, akkor a rendszer már kompromittálódhatott, illetve hozzátették, hogy már van elérhető PoC is, de nem tudni még aktív kihasználásról. 2024. július 10-ig a Censys 1.567.109 darab publikusan elérhető sérülékeny Exim szervert tart számon, legtöbbjük az Egyesült Államokban, Oroszországban, illetve Kanadában található.
A rendszergazdák, akik nem tudják rögtön frissíteni a szervereiket, tanácsolt, hogy korlátozzák a remote hozzáférést szervereikhez az internet irányából, így blokkolva az érkező kihasználási próbálkozásokat.
Az MTA szervereket gyakran veszik célba a támadók, mert szinte mindig elérhetőek az internet irányából, így könnyű potenciális réseket szolgáltatnak a belépéshez az áldozatok hálózataiba. Az Exim – amely egy Debian Linux MTA – a világ legnépszerűbb MTA szoftvere, egy korábbi júliusi felmérés adatai szerint, a vizsgált 409.255 levelező szerver több mint 59%-a volt a techcéghez köthető, amely nagyjából 241.000 esetet jelent.
(Forrás: NKI | Kép: flickr/Blue Coat Photo)
