میلیون‌ها ایمیل سرور Exim را در معرض خطر جدی

آسیب‌پذیری‌های حیاتی تازه کشف شده در نرم‌افزار Exim به مهاجمین اجازه می‌دهد تا کد دلخواه خود را از راه دور اجرا کرده و با پیکربندی‌های پیش‌فرض، دسترسی root را در سرورهای ایمیل به دست آورند.

به گزارش فاواپرس به نقل از مرکز افتا، تعداد ۲۱ آسیب‌پذیری امنیتی (۱۰ مورد قابل بهره‌برداری از راه دور و ۱۱ مورد محلی) توسط تیم تحقیقاتی Qualys شناسایی و گزارش شده که به طور کلی با ۲۱Nails شناخته می‌شوند.

همه نسخه‌های منتشر شده قبل از Exim ۴,۹۴.۲ در برابر حملاتی که با بهره‌برداری از ۲۱Nails حاصل می‌شوند آسیب‌پذیر هستند. برخی از آسیب‌پذیری‌ها می‌توانند با هم ترکیب شوند تا یک دسترسی غیرمجاز از راه دور به دست آورند و از امکانات سطح دسترسی root در Exim Server برخوردار شوند.

سرورهای Exim یک هدف آسان برای حملات هستند

سرورهای MTA مانند Exim با توجه به اینکه در اکثر موارد از طریق اینترنت قابل‌دسترسی هستند و یک نقطه ورود ساده به شبکه هدف برای مهاجمان فراهم می‌کنند، هدفی آسان برای حملات هستند. پس از اکسپلویت، مهاجمان می‌توانند تنظیمات ایمیل را در سرورهای ایمیل تغییر دهند و حساب‌های جدیدی را ایجاد کنند. مایکروسافت در ژوئن ۲۰۱۹ درباره یک کرم فعال لینوکس با کد آسیب‌پذیری CVE-۲۰۱۹-۱۰۱۴۹ (باگ EXIM RCE) هشدار داد و گفت که سرورهای Azure می‌توانند با سوءاستفاده از این حفره هک شوند. یک ماه بعد، مهاجمان شروع به بهره‌برداری از سرورهای آسیب‌پذیر Exim کردند تا Trojan Watchbog Linux را نصب کرده و آنها را به یک بات‌نت کریپتو ماینینگ Monero اضافه کنند.

آژانس امنیت ملی (NSA) در ماه می سال ۲۰۲۰ گفت که هکرهای نظامی روسی Sandworm حداقل از آگوست ۲۰۱۹ از نقص مهم CVE-۲۰۱۹-۱۰۱۴۹ بهره‌برداری کرده‌اند.

توصیه اکید به کاربران میلیونی Exim برای نصب وصله

بر اساس نظرسنجی‌های ماه می ۲۰۲۱ ، Exim MTA که ایمیل سرور پیش‌فرض در توزیع‌های لینوکس دبیان است، در حال حاضر محبوب‌ترین MTA جهان است. بر اساس این نظرسنجی، این سرویس در بیش از ۵۹٪ از مجموع ۱،۰۸۴،۸۰۰ ایمیل سرور قابل‌دسترس در اینترنت نصب شده است که نمایانگر بیش از ۳۴۴،۰۲۶ سرور Exim است.

بااین‌حال، به استناد گزارش BinaryEdge (شکل زیر) بیش از ۳،۵۶۴،۹۴۵ ایمیل سرور Exim وجود دارد که از نسخه‌های آسیب‌پذیر استفاده می‌کنند. اگر این موارد سریعاً در برابر آسیب‌پذیری‌های ۲۱Nail وصله نشوند، می‌توانند قربانی حملات اجرای فرمان از راه دور شوند.

بنابراین، همه کاربران Exim باید بلافاصله برای جلوگیری از هرگونه حمله ورودی که سرورهای آسیب‌پذیر آنها را هدف قرار می‌دهد نسخه Exim خود، ارتقا دهند. به گفته توسعه دهندگان Exim، اگر بخواهید نسخه Exim قدیمی‌تر از ۴,۹۴ را ارتقا دهید، به دلیل مشکلات داده‌های آلوده، باید پیکربندی سرور خود را دوباره انجام دهید.

جزئیات فنی بیشتر در مورد هر یک از آسیب‌پذیری‌های ۲۱Nail در راهنمای امنیتی Qualys موجود است.

 

مطالب مرتبط
ارسال یک پاسخ

نشانی رایانامه‌ی شما منتشر نخواهد شد.