19/12/2024

Actu Cybersécurité

1,5 million de serveurs de messagerie Exim affectés par une faille de sécurité !

Le serveur de messagerie Exim pour Linux est impacté par une faille de sécurité permettant à un attaquant de contourner les mécanismes de filtrage de pièces jointes. Faisons le point sur cette menace.

Une faille de sécurité associée à la référence CVE-2024-39929 a été découverte et patchée dans Exim, un serveur de messagerie (Mail Transfer Agent) disponible sur Linux. L'exploitation de cette vulnérabilité permet à un attaquant d'outrepasser les mécanismes de sécurité d'Exim et de délivrer plus facilement des pièces jointes malveillantes dans les boites aux lettres des utilisateurs.

Cette faiblesse est liée à une mauvaise analyse de l'en-tête de certains noms de fichiers (selon la RFC2231), ce qui peut permettre à des attaquants de contourner le mécanisme visant à bloquer certaines extensions de fichiers. En effet, le contenu n'est pas correctement analysé et la pièce jointe malveillante peut terminer dans la boite aux lettres du destinataire (voir cette page). Ensuite, cette pièce jointe doit être ouverte par l'utilisateur pour qu'un éventuel payload soit exécuté.

Comment se protéger ?

D'abord, sachez que la faille de sécurité CVE-2024-39929 affecte toutes les versions d'Exim jusqu'à la version 4.97.1 (comprise). La bonne nouvelle, c'est qu'un correctif de sécurité est disponible suite à la publication d'Exim 4.98, le 10 juillet 2024.

Pour le moment, un exploit PoC est disponible, mais la vulnérabilité n'est pas encore exploitée de façon active. Néanmoins, il est préférable de s'en protéger dès que possible. Le nombre de cibles potentielles pourrait fortement intéresser les cybercriminels.

Des millions de serveurs Exim exposés sur Internet

D'après un rapport de Censys, plus de 1,5 million de serveurs Exim sont actuellement exposés sur Internet et ils exécutent une version vulnérable de cet outil de gestion d'e-mails sous Linux. Environ la moitié de ses serveurs sont localisés aux États-Unis, bien qu'ils soient également très nombreux dans d'autres pays (voir cette page) :

  • 786 250 aux États-Unis
  • 71 860 en Russie
  • 69 440 au Canada
  • 64 830 au Pays-Bas
  • 56 930 en France
  • 47 480 au Royaume-Uni
  • 10 760 en Suède
  • Etc.

A contrario, 8 255 serveurs sont actuellement protégés, car ils exécutent la version 4.98 d'Exim. Par ailleurs, une recherche sur le moteur Shodan montre qu'il y a plus de 3,4 millions de serveurs avec Exim exposés sur Internet.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.