В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в почтовом сервере Exim. Она получила идентификаторы BDU:2026-06520 и CVE-2026-45185 и затрагивает все версии продукта вплоть до 4.99.3. Exim - один из самых распространенных агентов пересылки почты (MTA) в мире, особенно популярный в среде Unix-подобных систем. Его используют тысячи организаций: от небольших хостинг-провайдеров до крупных корпораций. Поэтому любая серьезная брешь в этом программном обеспечении способна затронуть огромное количество серверов. Уже сейчас известно, что эксплойт, реализующий атаку, находится в открытом доступе. А значит, злоумышленники активно сканируют интернет в поисках уязвимых машин.
Детали уязвимости
Суть проблемы кроется в ошибке класса "использование после освобождения" (use-after-free). В коде компонента BDAT/CHUNKING, отвечающего за обработку фрагментированных сообщений по протоколу SMTP, есть функция ungetc(). При определенных условиях она обращается к участку памяти, который уже был освобожден операционной системой. Это классическая ситуация, когда программисты не учли порядок освобождения ресурсов. В результате злоумышленник может отправить на сервер специально сформированное письмо, которое спровоцирует обращение к некорректной области памяти. Дальнейшее развитие событий зависит от того, что именно лежит в этой области. Опытный хакер может подменить эти данные так, чтобы выполнить произвольный код от имени процесса Exim. А процесс почтового сервера, как правило, работает с повышенными привилегиями. Следовательно, атакующий получает полный контроль над узлом.
Оценка по общей системе оценки уязвимостей (CVSS) 3.1 составила 9,8 балла из 10. Это максимально близкий к абсолютному значению показатель. Дело в том, что для эксплуатации не нужны ни аутентификация, ни участие человека. Вектор атаки - сетевой, то есть злоумышленник может действовать удаленно. Параметры конфиденциальности, целостности и доступности оцениваются как высокие: успешный взлом ведет к полной компрометации данных. В версии CVSS 2.0 результат еще выше - ровно 10 баллов. Статус уязвимости подтвержден производителем.
Уязвимость напрямую угрожает безопасности почтовой инфраструктуры. В случае успешной атаки злоумышленник может не только перехватить и прочитать все письма, проходящие через сервер, но и изменить их содержимое. Кроме того, он способен использовать Exim как точку входа в корпоративную сеть. Скомпрометированный почтовый сервер нередко становится базой для дальнейших атак на внутренние ресурсы, включая базы данных и контроллеры домена. А поскольку Exim часто работает с привилегиями суперпользователя (root) в среде Linux или FreeBSD, последствия могут быть катастрофическими. Уже сейчас в открытом репозитории GitHub опубликован прототип эксплойта под названием Dead.Letter. Это означает, что даже начинающие хакеры могут воспользоваться готовым инструментом. Ситуация крайне серьезная.
Разработчики Exim отреагировали оперативно. Они выпустили версию 4.99.3, в которой ошибка устранена. На официальном сайте опубликованы подробные рекомендации по обновлению, а также текстовый файл с техническим описанием уязвимости. Для тех, кто не может немедленно установить патч, предложены компенсирующие меры. В первую очередь необходимо ограничить возможность удаленного доступа к почтовому серверу с помощью межсетевого экранирования. Следует настроить фильтрацию таким образом, чтобы принимать входящие соединения только с доверенных IP-адресов. Если это невозможно, стоит как минимум разрешить подключения лишь из тех подсетей, где действительно расположены легитимные почтовые клиенты или другие MTA. Кроме того, рекомендуется сегментировать сеть, чтобы почтовый сервер был изолирован от остальной инфраструктуры. Это не позволит злоумышленнику, даже получившему доступ к Exim, легко передвигаться по внутренним ресурсам.
Еще одна полезная мера - использование систем обнаружения и предотвращения вторжений (IDS/IPS). Они способны зарегистрировать попытки отправки нестандартных команд SMTP или аномальные паттерны в трафике. Администраторам также стоит проверить, отключены ли неиспользуемые учетные записи пользователей и минимизированы ли привилегии самого сервиса. Если Exim не требует прав root для своей работы, его стоит запускать от отдельного непривилегированного пользователя. К сожалению, это не всегда возможно из-за особенностей работы с портами ниже 1024. Наконец, самый надежный способ на данный момент - заблокировать доступ из внешних сетей к порту 25, если это допускается бизнес-логикой. Временное отключение приема почты из интернета может снизить риски до нуля, пока системные администраторы не установят обновление.
Следует подчеркнуть, что уязвимость CVE-2026-45185 является ярким напоминанием о необходимости своевременного обновления критического программного обеспечения. Exim десятилетиями считается надежным решением, но даже у него появляются серьезные дефекты безопасности. В данном случае ошибка была обнаружена в коде компонента, который обрабатывает фрагментированные сообщения SMTP. Эта функция редко встречается в небольших почтовых серверах, но активно используется на крупных узлах, где объем писем велик. Поэтому под ударом прежде всего находятся хостинг-провайдеры, интернет-провайдеры и корпоративные почтовые системы. Важно, чтобы ИБ-специалисты уже сегодня провели инвентаризацию своих серверов Exim и в кратчайшие сроки обновили их до версии 4.99.3 или выше. Патч уже опубликован, и откладывать его установку нельзя. Промедление в условиях наличия публичного эксплойта может привести к массовым компрометациям.
Ссылки
- https://bdu.fstec.ru/vul/2026-06520
- https://www.cve.org/CVERecord?id=CVE-2026-45185
- https://exim.org/static/doc/security/EXIM-Security-2026-05-01.1/
- https://www.exim.org/static/doc/security/EXIM-Security-2026-05-01.1/EXIM-Security-2026-05-01.1.txt
- https://github.com/liamromanis101/Dead.Letter-CVE-2026-45185
