ثغرة Dead.Letter في Exim: تنفيذ كود عن بعد بتقييم 9.8 يهدد خوادم البريد الإلكتروني

كشف باحثون أمنيون عن ثغرة حرجة في خادم البريد الإلكتروني Exim تحمل المعرّف CVE-2026-45185 وأُطلق عليها اسم "Dead.Letter"، تتيح لمهاجم غير مصادق تنفيذ كود عشوائي عن بعد بتقييم CVSS 9.8 من 10. الثغرة تستهدف آلية معالجة رسائل BDAT عند استخدام مكتبة GnuTLS، وتُعد من أخطر الثغرات التي ضربت بنية البريد الإلكتروني التحتية هذا العام.

ما هي ثغرة Dead.Letter وكيف تعمل؟

تكمن الثغرة في خلل من نوع Use-After-Free يحدث أثناء معالجة Exim لبيانات الرسائل الواردة عبر بروتوكول BDAT (Binary Data Transmission). عندما يُرسل المهاجم إشعار TLS close_notify قبل اكتمال نقل جسم الرسالة، ثم يتبعه ببايت واحد بنص صريح (cleartext) على نفس اتصال TCP، يحدث تعارض خطير في إدارة الذاكرة.

تحديداً، عند إنهاء جلسة TLS يقوم Exim بتحرير ذاكرة التخزين المؤقت لنقل TLS، لكن مُعالج BDAT المتداخل يستمر في معالجة البايتات الواردة ويستدعي دالة ungetc() التي تكتب حرف سطر جديد (\n) في منطقة الذاكرة المحرّرة سابقاً. هذه الكتابة الواحدة تُفسد البيانات الوصفية لمُخصص الذاكرة (heap allocator metadata)، مما يفتح الباب أمام تنفيذ كود تعسفي بصلاحيات عملية Exim.

النطاق والإصدارات المتأثرة

تتأثر جميع إصدارات Exim من 4.97 وحتى 4.99.2 شاملة، لكن بشرط أساسي: أن يكون الخادم مُجمّعاً باستخدام خيار USE_GNUTLS=yes. الخوادم التي تعتمد على OpenSSL كمكتبة TLS لا تتأثر بهذه الثغرة. وبحسب إحصائيات Shodan وCensys، فإن ملايين خوادم Exim المكشوفة على الإنترنت تستخدم GnuTLS كإعداد افتراضي، خاصة على توزيعات Debian وUbuntu التي تُفضّل GnuTLS على OpenSSL لأسباب ترخيصية.

اكتشف الثغرة الباحث Federico Kirschbaum من مختبر XBOW الأمني وأبلغ عنها في الأول من مايو 2026، فيما أصدر فريق Exim التحديث الأمني في الإصدار 4.99.3 بتاريخ 12 مايو 2026. لا توجد حلول بديلة فعّالة — التحديث هو الخيار الوحيد.

لماذا تُعد هذه الثغرة شديدة الخطورة؟

ثلاثة عوامل تجعل Dead.Letter تهديداً استثنائياً. أولاً، لا تتطلب أي شكل من المصادقة — يكفي أن يتصل المهاجم بمنفذ SMTP للخادم. ثانياً، تقييم CVSS 9.8 يعني أن الاستغلال عن بعد ممكن دون تفاعل من المستخدم ودون شروط معقدة. ثالثاً، خوادم البريد بطبيعتها مكشوفة على الإنترنت لاستقبال الرسائل، مما يجعلها أهدافاً مباشرة لا تحميها جدران الحماية التقليدية.

الأخطر من ذلك أن استغلال الثغرة يتطلب فقط إرسال رسالة بريدية مُعدّة خصيصاً — لا حاجة لتفاعل بشري أو نقر على روابط. هذا يضع الثغرة في فئة "Zero-Click" مما يرفع مستوى التهديد بشكل كبير خاصة في بيئات التشغيل الآلي.

التأثير على المؤسسات المالية السعودية

خوادم البريد الإلكتروني هي العمود الفقري للتواصل المؤسسي في القطاع المالي، وأي اختراق لها يعني الوصول المباشر إلى المراسلات السرية والبيانات المالية والتعاملات التنظيمية. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق إدارة فعّالة للثغرات الأمنية ضمن نطاق Cybersecurity Operations Management، مع متطلبات صارمة لتحديث الأنظمة الحرجة خلال فترات زمنية محددة بعد صدور التصحيحات.

كذلك، يتطلب إطار NCA ECC في ضوابط إدارة الثغرات التقنية إجراء فحص دوري لكافة الأصول التقنية المكشوفة وتطبيق التصحيحات الحرجة دون تأخير. من جهة نظام PDPL، فإن اختراق خادم البريد قد يُعرّض المؤسسة لانتهاك أحكام حماية البيانات الشخصية إذا تسرّبت بيانات عملاء أو موظفين عبر المراسلات المُخترقة.

التوصيات والخطوات العملية

1. التحديث الفوري إلى Exim 4.99.3: هذا هو الإجراء الوحيد الفعّال. لا توجد حلول مؤقتة بديلة تُخفف من خطورة الثغرة.
2. تحديد جميع خوادم Exim في بيئتك: استخدم أدوات مسح الأصول مثل Nmap أو Qualys لتحديد كل خادم يعمل بـ Exim، بما في ذلك الخوادم الداخلية وخوادم إعادة التوجيه (relay servers).
3. التحقق من مكتبة TLS المستخدمة: نفّذ الأمر exim -bV وابحث عن "GnuTLS" في المخرجات. إذا كان الخادم يستخدم OpenSSL فالثغرة لا تؤثر عليه.
4. مراجعة سجلات الخادم: ابحث في سجلات Exim عن أنماط اتصال غير طبيعية تتضمن إشعارات TLS close_notify مبكرة متبوعة ببيانات cleartext، فقد تكون مؤشراً على محاولات استغلال.
5. تفعيل قواعد IDS/IPS: حدّث أنظمة كشف التسلل بتوقيعات خاصة بثغرة CVE-2026-45185 لرصد محاولات الاستغلال قبل وصولها للخادم.
6. تقييم بدائل MTA: إذا كانت مؤسستك تعتمد على Exim بشكل رئيسي، فقد يكون هذا الوقت المناسب لتقييم بدائل مثل Postfix التي تستخدم بنية أمنية مختلفة وتقلل من سطح الهجوم.

الخلاصة

ثغرة Dead.Letter تُذكّرنا بأن خوادم البريد الإلكتروني — رغم كونها من أقدم مكونات البنية التحتية — لا تزال هدفاً رئيسياً للمهاجمين. تقييم CVSS 9.8 مع إمكانية الاستغلال دون مصادقة يجعل التحديث إلى Exim 4.99.3 أولوية قصوى لا تحتمل التأجيل. المؤسسات المالية السعودية الخاضعة لرقابة SAMA مطالبة بالتحرك الفوري ضمن التزاماتها التنظيمية بإدارة الثغرات الحرجة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل فحصاً شاملاً لأمن البنية التحتية للبريد الإلكتروني.