lỗ hổng CVE trong Exim mail server đang cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý và kiểm soát hoàn toàn máy chủ bị lộ. CVE-2026-45185 được đánh giá với CVSS 9.8, thuộc nhóm CVE nghiêm trọng có khả năng dẫn tới remote code execution trên các hệ thống bị ảnh hưởng.
CVE-2026-45185 Trong Exim Mail Server
Lỗ hổng này được mô tả là một lỗi use-after-free trong logic xử lý phần thân thông điệp truyền dữ liệu nhị phân khi thư viện GnuTLS xử lý kết nối TLS. Theo phân tích kỹ thuật, lỗ hổng CVE xuất hiện trong giai đoạn truyền dữ liệu của giao thức SMTP chunking, và có thể bị kích hoạt mà không cần cấu hình đặc biệt.
Tham khảo thêm thông tin công khai tại NVD và bản phân tích kỹ thuật từ Exim, XBOW, CyCognito được nêu trong các công bố liên quan.
Cách khai thác lỗ hổng
Khai thác xảy ra khi kẻ tấn công điều khiển trình tự kết nối trong lúc truyền dữ liệu đang diễn ra. Một chuỗi sự kiện điển hình là gửi TLS close notification trước khi quá trình binary data transfer hoàn tất, sau đó ngay lập tức gửi một byte cleartext cuối cùng trên cùng kết nối TCP.
Chuỗi này khiến Exim ghi vào bộ nhớ nội bộ đã bị giải phóng trong quá trình kết thúc phiên chuẩn. Chỉ với một byte dữ liệu bị định hướng sai, cấu trúc nội bộ của memory allocator có thể bị làm sai lệch, từ đó dẫn tới chiếm quyền điều khiển tiến trình.
Ảnh hưởng kỹ thuật
Theo công bố, lỗi heap corruption một byte này đủ để leo thang đặc quyền và đạt unauthenticated remote code execution. Đây là một dạng lỗ hổng zero-day có mức độ ảnh hưởng cao đối với các hệ thống Exim phơi lộ ra Internet.
Điểm đáng chú ý là cuộc tấn công chỉ cần khả năng thiết lập kết nối an toàn và sử dụng chuẩn SMTP chunking extension, cả hai đều thường được bật mặc định trên các triển khai hiện đại. Điều này làm tăng nguy cơ bảo mật cho các máy chủ thư điện tử chưa được cập nhật bản vá.
Điều kiện hệ thống bị ảnh hưởng
Lỗ hổng CVE này chỉ ảnh hưởng đến Exim 4.97 đến 4.99.2 khi được biên dịch với GnuTLS. Các bản dựng dùng thư viện thay thế như OpenSSL không bị ảnh hưởng bởi vector tấn công này.
Mức độ phơi nhiễm tập trung trên các hệ thống Linux dùng gói Exim mặc định từ nhà phân phối, đặc biệt là các biến thể dựa trên Debian và Ubuntu. Một số hệ thống khác như Red Hat Enterprise Linux thường không nằm trong phạm vi ảnh hưởng trực tiếp theo mô tả kỹ thuật.
Cảnh báo CVE Và Hành động Khắc Phục
Không có biện pháp cấu hình tạm thời nào được xác nhận là giải quyết hoàn toàn lỗ hổng mà không làm ảnh hưởng chức năng. Do đó, cập nhật bản vá là biện pháp phòng vệ duy nhất được khuyến nghị.
Exim đã khắc phục lỗi xử lý bộ nhớ trong version 4.99.3. Các quản trị viên hệ thống nên kiểm tra phiên bản đang chạy và tiến hành nâng cấp ngay nếu đang dùng nhánh bị ảnh hưởng.
Kiểm tra phiên bản Exim
exim -bVVí dụ xác minh gói trên hệ thống Debian/Ubuntu
dpkg -l | grep exim
apt-cache policy exim4Nếu hệ thống đang dùng Exim biên dịch với GnuTLS trong phạm vi 4.97–4.99.2, cần xử lý như một cảnh báo CVE ưu tiên cao. Với môi trường thư điện tử phơi lộ dịch vụ SMTP, việc chậm vá có thể làm tăng rủi ro bị khai thác từ xa.
Phân tích Mức Độ Rủi Ro Bảo Mật
Với CVSS 9.8, đây là một lỗ hổng CVE thuộc nhóm nghiêm trọng, có thể dẫn đến hệ thống bị xâm nhập nếu máy chủ Exim dễ tiếp cận qua mạng. Việc không cần tương tác người dùng khiến bề mặt tấn công trở nên thuận lợi hơn cho khai thác tự động.
Trong bối cảnh vận hành, ưu tiên cần đặt vào việc xác định máy chủ đang dùng Exim, kiểm tra thư viện liên kết, và triển khai update vá lỗi lên phiên bản an toàn càng sớm càng tốt.
Thông Tin Kỹ Thuật Tóm Tắt
- CVE: CVE-2026-45185
- Loại lỗi: use-after-free, heap corruption
- Điểm CVSS: 9.8
- Tác động: unauthenticated remote code execution
- Phiên bản bị ảnh hưởng: Exim 4.97 đến 4.99.2
- Điều kiện: Biên dịch với GnuTLS
- Khắc phục: Nâng cấp lên Exim 4.99.3
IOC
- Không có IOC cụ thể được cung cấp trong nội dung gốc.
Điểm Kiểm Tra Khi Triển Khai
Quản trị viên nên rà soát toàn bộ máy chủ thư điện tử đang chạy Exim, đặc biệt các hệ thống công khai dịch vụ SMTP. Nếu phát hiện phiên bản nằm trong phạm vi ảnh hưởng, cần ưu tiên cập nhật bản vá và xác nhận lại thư viện TLS đang được sử dụng.
Trong môi trường giám sát, việc phát hiện tấn công có thể tập trung vào các chuỗi kết nối TLS bất thường trong quá trình chunked transfer. Tuy nhiên, vì nội dung gốc không cung cấp IOC hay dấu hiệu khai thác cụ thể, trọng tâm chính vẫn là nâng cấp phiên bản và giảm rủi ro an toàn thông tin.
