Protección insuficiente: 1,5 millones de servidores Exim contienen un error crítico

La empresa Censys ha advertido sobre una vulnerabilidad crítica en los servidores de correo Exim, que afecta a más de 1,5 millones de servidores en todo el mundo. El fallo permite a los atacantes eludir los filtros de seguridad y entregar archivos adjuntos maliciosos a los buzones de los usuarios.

La vulnerabilidad CVE-2024-39929 (calificación CVSS: 9.1) es causada por un análisis sintáctico incorrecto de los nombres de archivos con varias líneas en los encabezados RFC2231, lo que permite a un atacante remoto eludir la protección $mime_filename. El error permite entregar archivos ejecutables a los buzones de los usuarios, que pueden comprometer el sistema al abrirse.

En Exim se pueden usar filtros que analizan los nombres de los archivos adjuntos (nombre de archivo MIME). Los filtros ayudan a identificar y bloquear archivos con nombres sospechosos o peligrosos, lo que reduce el riesgo de explotación de vulnerabilidades a través de archivos adjuntos en el correo electrónico. Por ejemplo, un administrador puede configurar Exim para bloquear archivos adjuntos con extensiones comúnmente utilizadas para la distribución de malware (como .exe, .bat) o para verificar nombres de archivos en busca de símbolos y secuencias sospechosos.

Actualmente, se han registrado 1,532,163 servidores Exim de acceso público que ejecutan la versión vulnerable (4.97.1 o anterior). La mayoría de los servidores se encuentran en EE.UU., Rusia y Canadá. Cabe destacar que ya hay disponible un PoC para esta vulnerabilidad, aunque aún no se ha informado de una explotación activa.

Se recomienda a los administradores de servidores Exim actualizar urgentemente el software a la última versión que corrige la vulnerabilidad. Si no es posible actualizar, se debe restringir el acceso remoto a los servidores desde internet para prevenir intentos de explotación de la vulnerabilidad. Hasta ahora, 82 servidores de acceso público muestran signos de estar ejecutando la versión corregida 4.98.

Según Shodan, hay más de 3,4 millones de servidores Exim accesibles en internet, la mayoría de los cuales se encuentran en EE.UU., Rusia y los Países Bajos. Censys también ha encontrado 6,540,044 servidores de correo de acceso público, de los cuales 4,830,719 (aproximadamente el 74%) ejecutan Exim.

Los servidores de correo, como Exim, a menudo son objetivos de ataques porque casi siempre están accesibles a través de internet. Exim es el MTA estándar para Debian Linux y el servidor de correo más popular del mundo. Según los últimos datos, más de 241,000 de los 409,255 servidores accesibles en internet utilizan Exim.