250/67 (IT) ประจำวันจันทร์ที่ 15 กรกฎาคม 2567
พบช่องโหว่ร้ายแรงในโปรแกรม Exim Mail Server ที่อาจให้ผู้โจมตีส่งไฟล์แนบที่เป็นอันตรายเข้าสู่กล่องจดหมายของผู้ใช้งาน ช่องโหว่นี้ถูกติดตามในรหัส CVE-2024-39929 และมีคะแนน CVSS 9.1 จาก 10 คะแนน
Exim เป็นโปรแกรม Mail Transfer Agent (MTA) ที่ใช้กันอย่างแพร่หลายสำหรับการรับ-ส่ง และจัดการอีเมล โดยพัฒนาขึ้นสำหรับระบบ Unix-like โดย Exim มีความสามารถในการปรับแต่งการทำงานได้อย่างหลากหลายผ่านไฟล์กำหนดค่า ซึ่งช่องโหว่ใน Exim ทุกเวอร์ชันจนถึง 4.97.1 เกิดจากการตีความชื่อไฟล์หัวข้อ RFC 2231 หลายบรรทัดผิดพลาด ทำให้ผู้โจมตีสามารถข้ามการป้องกันการบล็อกส่วนขยาย $mime_filename และส่งไฟล์แนบที่เป็น executable ไปยังกล่องจดหมายของผู้ใช้ได้ ซึ่งช่องโหว่นี้ได้รับการแก้ไขในเวอร์ชัน 4.98 แล้ว
จากข้อมูลของบริษัทความปลอดภัย Censys พบว่ามีเซิร์ฟเวอร์ SMTP ที่เชื่อมต่ออินเทอร์เน็ตจำนวน 6,540,044 เซิร์ฟเวอร์ และประมาณ 4,830,719 เซิร์ฟเวอร์ (74%) ที่ใช้งาน Exim โดยนักวิจัยจาก Censys ระบุว่ามีการทดสอบการโจมตี (PoC) สำหรับช่องโหว่นี้ แต่ก็ยังไม่พบว่ามีการนำไปใช้โจมตีจริงในขณะนี้ จนถึงวันที่ 10 กรกฎาคม 2024 Censys พบว่าเซิร์ฟเวอร์ Exim ที่เปิดเผยต่อสาธารณะจำนวน 1,567,109 เซิร์ฟเวอร์ รันเวอร์ชันที่อาจมีช่องโหว่ คือเวอร์ชัน 4.97.1 หรือที่ต่ำกว่า โดยส่วนใหญ่กระจุกตัวอยู่ในสหรัฐอเมริกา รัสเซีย และแคนาดา และพบว่า 82 เซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะรันเวอร์ชันที่ได้รับการแก้ไข ในเวอร์ชัน4.98 ทาง Censys ได้ปล่อยชุดคำสั่งที่ช่วยในการระบุเซิร์ฟเวอร์ Exim ที่เชื่อมต่ออินเทอร์เน็ตที่อาจมีช่องโหว่และความเสี่ยงที่อาจได้รับผลกระทบจาก CVE 2024-39929 นี้
แหล่งข่าว https://securityaffairs.com/165649/hacking/critical-flaw-exim-mta.html
