میلیونها سرور Exim در معرض حمله قرار دارند
آسیبپذیریهای کشف شده در سرور ایمیل Exim به مهاجمان راه دور اجازه میدهند بدون نیاز به احراز هویت روی سرور کد اجرا کنند و دسترسی root کسب کنند.
|
آسیبپذیریهای کشف شده در سرور ایمیل Exim به مهاجمان راه دور اجازه میدهند بدون نیاز به احراز هویت روی سرور کد اجرا کنند و دسترسی root کسب کنند. |
|
اکسیم یک کارگزار انتقال پیام (MTA) یا میل سرور متنباز محبوب است. اخیراً 21 آسیبپذیری در این نرمافزار کشف شده است. این آسیبپذیریها که توسط تیم تحقیقاتی Qualys کشف و گزارش شدهاند، در مجموع 21Nails نامیده شدهاند. ده مورد از آنها از راه دور و 11 مورد به طور محلی قابل بهرهبرداری هستند. تمام نسخههای Exim ماقبل 4.94.2 در معرض این آسیبپذیریها قرار دارند. Bharat Jogi از مدیران ارشد Qualys میگوید: میتوان برخی از این آسیبپذیریها را زنجیروار با هم ترکیب کرده و دسترسی کامل اجرای کد و دسترسی root به دست آورد. یکی از آسیبپذیریها (CVE-2020-28017) در همه نسخههای Exim از سال 2004 به بعد وجود دارد (یعنی ابتدای تاریخچه گیت این نرمافزار). |
|
آسیبپذیری و حملات قبلی روی Exim |
|
سرورهای MTA یا به عبارتی میل سرورها هدف آسانی برای حمله هستند و برای مهاجمان نقطه شروعی برای نفوذ به شبکه به فراهم میکنند، زیرا اغلب از طریق اینترنت قابل دسترسی هستند. به گفته Qualys، پس از بهرهبرداری از آسیبپذیریها، مهاجمان میتوانند تنظیمات حساس سرور را تغییر دهند و در نتیجه برای خود حساب کاربری جدیدی روی سرور بسازند. مایکروسافت در ژوئن 2019 هشدار داده بود که یک کرم لینوکسی در حال سوء استفاده از یک آسیبپذیری اجرای کد راه دور روی اکسیم (CVE-2019-10149) است. همچنین سرورهای آژور میتوانستند از طریق این آسیبپذیری مورد هجوم واقع شوند. یک ماه بعد، مهاجمان شروع به نصب تروجان Watchdog روی سرورهای آسیبپذیر اکسیم کردند که سرورها را به یک باتنت ارزکاو مونرو ملحق میکرد. در ماه مه 2020 نیز آژانس امنیت ملی آمریکا (NSA) اعلام کرد که هکرهای نظامی روسیه در حال سوء استفاده از این آسیبپذیری اکسیم بودهاند. این آسیبپذیری بازگشت جادوگر (Return of the WIZard) نیز نامیده شده بود. |
|
بهروزرسانی |
|
اکسیم میل سرور پیشفرض توزیع Debian لینوکس است و اخیراً نیز طبق گزارش Security space به عنوان محبوبترین MTA جهان شناخته شده است. طبق این گزارش، 1,084,800 میل سرور در جهان وجود داشتند که از طریق اینترنت قابل دسترسی بودند. از این تعداد، 581,204 سرور قابل شناسایی بودهاند و 344,026 مورد آنها اکسیم بودهاند که 59 درصد سرورهای قابل شناسایی را تشکیل میدادند. با این وجود، موتور جستجوی BinaryEdge بیش از 3,564,945 سرور اکسیم آسیبپذیر را نشان میدهد. همه این سرورها در صورتی که وصله نشوند میتوانند هدف حملات قرار گیرند، بنابراین همه کاربران اکسیم باید هر چه سریعتر آن را به جدیدترین نسخه بهروز کنند. البته اگر نسخه فعلی اکسیم شما ماقبل 4.94 باشد، ممکن است به خاطر ویژگی امنیتی “tainted data” لازم باشد پیکربندی اکسیم را نیز تغییر دهید. این ویژگی در نسخه 4.94 معرفی شده است. به جای این کار میتوانید از نسخههای شاخه taintwarn استفاده کنید. نسخههای این شاخه دارای یک گزینه پیکربندی به نام ‘allow_insecure_tainted_data’ هستند که باعث میشود خطاهای مربوط به tainted data به هشدار تبدیل شوند. |
|
منابع:
|