Asesoría

10 de julio de 2024 Aviso: Una vulnerabilidad en el MTA Exim podría permitir que archivos adjuntos maliciosos pasen los filtros [CVE-2024-39929].

10 de julio de 2024

Etiquetas:

Fecha de divulgación: 2024-07-04
CVE-ID y puntuación CVSS: CVE-2024-39929 - CVSS 9.1
Nombre y descripción del problema: Una vulnerabilidad en Exim MTA debida a un error en el análisis de la cabecera RFC 2231 podría permitir a atacantes remotos enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.
Descripción del activo:
- Exim es un agente de transferencia de correo (MTA) gratuito ampliamente utilizado en sistemas operativos tipo Unix. Esta vulnerabilidad afecta a las versiones de Exim hasta la 4.97.1 inclusive.
- De los 6.540.044 servidores de correo SMTP públicos que Censys ve en línea, 4.830.719 (~74%) ejecutan Exim, lo que pone de manifiesto lo extendido que está.
Impacto de la vulnerabilidad: La vulnerabilidad podría permitir a un atacante remoto eludir las medidas de protección contra el bloqueo de extensiones de nombre de archivo y entregar archivos adjuntos ejecutables directamente a los buzones de correo de los usuarios finales. Si un usuario descargara o ejecutara uno de estos archivos maliciosos, el sistema podría verse comprometido.
Detalles de la explotación: Hay una PoC disponible, pero aún no se conoce ninguna explotación activa.
Disponibilidad del parche: Este problema está solucionado en Exim 4.98: https://github.com/Exim/exim/compare/exim-4.98-RC2...exim-4.98-RC3
Censys Perspectiva: A fecha de 10 de julio de 2024, Censys observa 1.567.109 servidores Exim expuestos al público que ejecutan una versión potencialmente vulnerable (4.97.1 o anterior), concentrados principalmente en Estados Unidos, Rusia y Canadá. Hasta ahora, 82 servidores expuestos al público muestran indicios de ejecutar una versión parcheada de 4.98.
Detección con Censys: Las siguientes consultas pueden utilizarse para identificar las instancias públicas de Exim visibles en Censys que ejecutan versiones potencialmente vulnerables afectadas por esta CVE.
- Censys Consulta de búsqueda de exposiciones potencialmente vulnerables: services.software: (product="exim" and version: [* to 4.97.1])
- Censys Consulta ASM para Exposiciones potencialmente Exposiciones: host.services.software: (product="exim" and version: [* to 4.97.1]) or web_entity.instances.software: (product="exim" and version: [* to 4.97.1])
- Censys Consulta de riesgos ASM para clientes: risks.name="Servidor Exim vulnerable [CVE-2024-39929]"
  - Las coincidencias de riesgo deberían aparecer en los espacios de trabajo de los clientes en un plazo de 24 horas.
Referencias:

Volver al Centro de Recursos

Productos

Soluciones

Recursos

Empresa

10 de julio de 2024 Aviso: Una vulnerabilidad en el MTA Exim podría permitir que archivos adjuntos maliciosos pasen los filtros [CVE-2024-39929].

10 de julio de 2024 Aviso: Una vulnerabilidad en el MTA Exim podría permitir que archivos adjuntos maliciosos pasen los filtros [CVE-2024-39929].

Compartir