Exim邮件传输代理中的六个零日漏洞影响重大

关键要点

最近在 Exim 邮件传输代理中发现的六个零日漏洞，使得超过 253,000 台邮件服务器面临潜在风险，其中四个漏洞可能会导致远程代码执行（RCE）攻击。

在中，中心互联网安全（CIS）表示，未认证的攻击者能够安装程序、查看、修改或删除数据，甚至可以创建拥有完整用户权限的新帐户。

这些零日漏洞在上周末被。根据来自的报告，他们早在 2022 年 6 月就已告知 Exim有关该漏洞的情况，并在 2023 年 5 月应供应商请求再次发送了相关信息，但开发者未能提供补丁进展的更新。

这时，ZDI 于 9 月 27 日发布了其咨询报告，但直到两天后在邮件列表上发布的新闻后才被广泛关注。截至周一，已有发布了补丁。

CIS 描述了最严重的零日漏洞 — ，这是一个存在于默认监听 TCP 25 端口的 SMPT服务中的特定缺陷。该问题缘于缺乏对用户提供数据的适当验证，可能导致缓存区溢出。CIS 解释说，攻击者可以利用这一缺陷在服务帐户的上下文中执行代码。

受影响的系统包括 Exim 4.96 及之前版本，CIS 表示，中型和大型政府机构及企业面临高风险。

Exim 曾在网络安全与基础设施安全局（CISA）发布的已知利用漏洞（KEV）目录中列出，因此恶意黑客再次选择 Exim进行攻击显然是因为以往的响应不够及时。Viakoo Labs 的副总裁约翰·加拉赫（JohnGallagher）表示，安全专家应将这些漏洞视为极易被利用的目标。

“这些漏洞是公开的，Exim 发布补丁的速度较慢，设备可通过 Shodan 搜索找到，许多组织将不得不实施补丁。”加拉赫称。“在许多开源项目中，用户并不总是
IT 专业人员，因此 Exim 产品的补丁实施会比较慢，因为许多非IT组织将负责维护这些产品。”

网络安全公司 Netenrich 的首席威胁猎手约翰·班本克（JohnBambenek）补充说，邮件服务器本身就是面向公众的，这使得这些漏洞十分令人担忧，尤其是 RCE 类型的漏洞。

“组织无法关闭邮件服务器，因此他们应立即优先处理补丁，因为广泛利用可能在一两天内开始。”班本克警告道。