17/11/2024
IT-Connect » Actualités » Actu Cybersécurité » 1,5 million de serveurs de messagerie Exim affectés par une faille de sécurité !

Exim - CVE-2024-39929
Actu Cybersécurité

1,5 million de serveurs de messagerie Exim affectés par une faille de sécurité !

Florian BURNEL 0 commentaire

Le serveur de messagerie Exim pour Linux est impacté par une faille de sécurité permettant à un attaquant de contourner les mécanismes de filtrage de pièces jointes. Faisons le point sur cette menace.

Une faille de sécurité associée à la référence CVE-2024-39929 a été découverte et patchée dans Exim, un serveur de messagerie (Mail Transfer Agent) disponible sur Linux. L'exploitation de cette vulnérabilité permet à un attaquant d'outrepasser les mécanismes de sécurité d'Exim et de délivrer plus facilement des pièces jointes malveillantes dans les boites aux lettres des utilisateurs.

Cette faiblesse est liée à une mauvaise analyse de l'en-tête de certains noms de fichiers (selon la RFC2231), ce qui peut permettre à des attaquants de contourner le mécanisme visant à bloquer certaines extensions de fichiers. En effet, le contenu n'est pas correctement analysé et la pièce jointe malveillante peut terminer dans la boite aux lettres du destinataire (voir cette page). Ensuite, cette pièce jointe doit être ouverte par l'utilisateur pour qu'un éventuel payload soit exécuté.

Comment se protéger ?

D'abord, sachez que la faille de sécurité CVE-2024-39929 affecte toutes les versions d'Exim jusqu'à la version 4.97.1 (comprise). La bonne nouvelle, c'est qu'un correctif de sécurité est disponible suite à la publication d'Exim 4.98, le 10 juillet 2024.

Pour le moment, un exploit PoC est disponible, mais la vulnérabilité n'est pas encore exploitée de façon active. Néanmoins, il est préférable de s'en protéger dès que possible. Le nombre de cibles potentielles pourrait fortement intéresser les cybercriminels.

Des millions de serveurs Exim exposés sur Internet

D'après un rapport de Censys, plus de 1,5 million de serveurs Exim sont actuellement exposés sur Internet et ils exécutent une version vulnérable de cet outil de gestion d'e-mails sous Linux. Environ la moitié de ses serveurs sont localisés aux États-Unis, bien qu'ils soient également très nombreux dans d'autres pays (voir cette page) :

  • 786 250 aux États-Unis
  • 71 860 en Russie
  • 69 440 au Canada
  • 64 830 au Pays-Bas
  • 56 930 en France
  • 47 480 au Royaume-Uni
  • 10 760 en Suède
  • Etc.

A contrario, 8 255 serveurs sont actuellement protégés, car ils exécutent la version 4.98 d'Exim. Par ailleurs, une recherche sur le moteur Shodan montre qu'il y a plus de 3,4 millions de serveurs avec Exim exposés sur Internet.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Authentification NTLM (Windows) - Technique d’attaque basée sur Microsoft Access

Authentification Windows : cette technique basée sur Microsoft Access permet de voler les tokens NTLM

Florian BURNEL 0
Signal mise à niveau du chiffrement de bout en bout

Désormais, le chiffrement de bout en bout de Signal est résistant aux ordinateurs quantiques !

Florian BURNEL 0
Progress WS_FTP CVE-2023-40044 et CVE-2023-42657.png

L’éditeur Progress émet une alerte pour ces deux failles dans WS_FTP Server

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.