새로운 중대한 Exim 메일러 결함, 원격 코드 실행을 허용

Source: Bleeping Computer

개요

Exim 오픈소스 메일 전송 에이전트의 특정 구성에 영향을 주는 중요한 취약점이 인증되지 않은 원격 공격자에 의해 악의적인 코드를 실행하도록 악용될 수 있습니다.

CVE‑2026‑45185 로 식별된 이 문제는 기본 GNU Transport Layer Security (GnuTLS) 라이브러리를 사용하여 보안 통신을 하는 Exim 4.99.3 이전 버전에 영향을 미칩니다. TLS 종료 과정에서 BDAT 청크형 SMTP 트래픽을 처리하는 동안 발생하는 사용자‑해제 후 사용 (UAF) 결함입니다. Exim은 TLS 전송 버퍼를 해제하지만 이후에도 해제된 메모리 영역에 데이터를 쓸 수 있는 오래된 콜백 참조를 계속 사용하게 되어 원격 코드 실행(RCE)이 가능해집니다.

Exim은 Linux 및 Unix 서버에서 이메일을 전송, 수신 및 라우팅하는 데 널리 사용되는 오픈소스 메일 전송 에이전트(MTA)이며, 공유 호스팅 환경, 기업 메일 시스템, Debian 및 Ubuntu 기반 배포판에서 기본 메일 서버로 오랫동안 사용되어 왔습니다.

발견 및 영향

CVE‑2026‑45185는 XBOW 연구원 Federico Kirschbaum이 발견하고 보고했습니다. 이 취약점은 GnuTLS로 컴파일된 Exim 4.97부터 4.99.2까지의 버전에서 STARTTLS와 CHUNKING이 광고되는 경우에 영향을 미칩니다. OpenSSL로 컴파일된 빌드는 영향을 받지 않습니다.

취약점을 악용하면 공격자는 서버에서 명령을 실행하고, Exim 데이터와 이메일에 접근하며, 서버 권한 및 구성에 따라 환경 내에서 추가로 권한을 상승시킬 수 있습니다.

XBOW는 5월 1일에 Exim 유지보수 담당자에게 취약점을 보고했으며, 5월 5일에 확인을 받았습니다. 영향을 받는 Linux 배포판에는 3일 뒤에 통보되었습니다.

수정 사항은 Exim 4.99.3에서 배포되었습니다(announcement).

완화 방안

Ubuntu 및 Debian 기반 Linux 배포판 사용자는 가능한 한 빨리 패키지 관리자를 통해 제공되는 Exim 업데이트(v4.99.3)를 적용해야 합니다.

AI‑지원 익스플로잇 구축

XBOW는 개념 증명(PoC) 익스플로잇을 만드는 데 회사의 자율 AI 기반 개발 시스템 XBOW Native와 대형 언어 모델(LLM)의 도움을 받은 인간 연구원 간의 7일간의 도전 과제가 있었다고 보고했습니다.

• XBOW Native는 주소 공간 레이아웃 랜덤화(ASLR)가 비활성화되고 비‑PIE 바이너리인 단순화된 대상 Exim 서버에 대해 작동하는 익스플로잇을 성공적으로 제작했습니다.
• 두 번째 시도에서는 LLM이 ASLR이 활성화된 머신에서도 작동하는 익스플로잇을 만들었지만, 여전히 비‑PIE 바이너리였습니다.

”[…] instead of continuing to attack glibc’s allocator with off‑the‑shelf mechanisms, XBOW Native had taken on Exim’s own allocator,” — XBOW researchers.

놀라운 결과에도 불구하고 인간 연구원이 레이스에서 승리했으며, 파일 조립 및 익스플로잇 경로 테스트와 같은 작업에서 LLM의 도움을 받았습니다.

연구원은 다음과 같이 언급했습니다:

“Honestly, I don’t think LLMs alone are quite ready to write exploits against real‑world software yet. After this experience, I think it can solve something CTF‑shaped, but I don’t see them reaching the level of real production targets just yet.”

그럼에도 불구하고 연구원은 AI 도구가 인간이 익숙하지 않은 코드를 이해하고 의심스러운 영역을 훨씬 빠르게 조사하는 데 중요한 역할을 한다는 점을 인정했습니다.