Bu Güvenlik Açığı İnternetteki E-posta Sunucusunun Yarısını Etkiledi

E-posta sunucularında gönderenleri alıcılara gönderen bir posta aktarım aracı (MTA, mail transfer agent) olan Exim‘deki kritik bir güvenlik açığı yüz binlerce e-posta sunucusunu etkiledi. Hatanın fark edilmesinden hemen sonra  bir yama yayınlandı, ancak bu hata internetin e-posta sunucularının yarısından fazlasını etkiliyor ve sorunu düzeltmek haftalar alacak gibi görünüyor.

Mart 2017’de yapılan bir araştırmaya göre, tüm İnternet’in e-posta sunucularının% 56’sı Exim’i çalıştırıyor ve bu araştırma sırasında 560,000’den fazla sunucu online olarak çalışıyordu. Başka bir raporda ise, Exim sunucu sayının milyonlar olduğundan bahsedilmekte. Bu rapordan almış olduğum tablo aşağıda yer almaktadır.

Hata uzaktan kod çalıştırmaya için izin veriyor

Meh Chang adındaki bir Tayvanlı güvenlik araştırmacısı, hatayı keşfederek 2 Şubat’ta Exim ekibine rapor ediyor. Exim ekibi ise, 10 Şubat’taki 4.90.1 Exim dağıtımında RCE sorununu düzeltiyorlar.

CVE-2018-6789 olarak listelenen hata, bir “pre-auth remote code execution” olarak kategorize edilmekte, yani bir saldırgan sunucuda herhangi bir kimlik doğrulaması yapmasına gerek olmadan Exim e-posta sunucusunda kötü amaçlı komutlar çalıştırmasına izin vermekte. Hata, Exim’in base64 kod çözme işlevinde bir baytlık arabellek taşmasıdır. Şimdiye kadar piyasaya sürülen tüm Exim sürümlerini etkilemektedir.

Chang, Exim’in SMTP daemon’unu kullanmak için temel adımları detaylandıran bir blog yazısısı yayınlayarak hatadan bahsetmiş. Chang’ın blog yazısına buradan erişebilirsiniz.

PoC veya açıklık kodu yok

Exim 4.90.1’in yayımlanmasından bu yana, güncellenmiş Exim sürümleri, öncelikle veri merkezlerinde kullanılan Linux dağıtımlarına dağıtılmaya başlandı. Ancak yama yapılamamış online sistemlerin sayısı hakkında hala belirsizlik var. Exim’in en popüler posta dağıtım aracı olduğu göz önüne alındığında, CVE-2018-6789 büyük bir saldırı deliği açmıştır ve Exim sunucu sahipleri, Exim 4.90.1 güncellemesini mümkün olan en kısa zamanda yapmalıdırlar.

Chang ayrıca geçen sene iki tane daha Exim hatası bulmuştu ve bu açıklıklar da uzaktan kod çalıştırmaya izin veriyordu. Bu hatalar Exim 4.90’da yamanmıştı.