میلیونها سرور Exim در معرض حمله قرار دارند
آسیبپذیریهای کشف شده در سرور ایمیل Exim به مهاجمان راه دور اجازه میدهند بدون نیاز به احراز هویت روی سرور کد اجرا کنند و دسترسی root کسب کنند.
اکسیم یک کارگزار انتقال پیام (MTA) یا میل سرور متنباز محبوب است. اخیراً ۲۱ آسیبپذیری در این نرمافزار کشف شده است. این آسیبپذیریها که توسط تیم تحقیقاتی Qualys کشف و گزارش شدهاند، در مجموع ۲۱Nails نامیده شدهاند. ده مورد از آنها از راه دور و ۱۱ مورد به طور محلی قابل بهرهبرداری هستند. تمام نسخههای Exim ماقبل ۴.۹۴.۲ در معرض این آسیبپذیریها قرار دارند.
Bharat Jogi از مدیران ارشد Qualys میگوید: میتوان برخی از این آسیبپذیریها را زنجیروار با هم ترکیب کرده و دسترسی کامل اجرای کد و دسترسی root به دست آورد. یکی از آسیبپذیریها (CVE-2020-28017) در همه نسخههای Exim از سال ۲۰۰۴ به بعد وجود دارد (یعنی ابتدای تاریخچه گیت این نرمافزار).
آسیبپذیری و حملات قبلی روی Exim
سرورهای MTA یا به عبارتی میل سرورها هدف آسانی برای حمله هستند و برای مهاجمان نقطه شروعی برای نفوذ به شبکه به فراهم میکنند، زیرا اغلب از طریق اینترنت قابل دسترسی هستند. به گفته Qualys، پس از بهرهبرداری از آسیبپذیریها، مهاجمان میتوانند تنظیمات حساس سرور را تغییر دهند
بهروزرسانی
اکسیم میل سرور پیشفرض توزیع Debian لینوکس است و اخیراً نیز طبق گزارش Security space به عنوان محبوبترین MTA جهان شناخته شده است. طبق این گزارش، ۱,۰۸۴,۸۰۰ میل سرور در جهان وجود داشتند که از طریق اینترنت قابل دسترسی بودند. از این تعداد، ۵۸۱,۲۰۴ سرور قابل شناسایی بودهاند و ۳۴۴,۰۲۶ مورد آنها اکسیم بودهاند که ۵۹ درصد سرورهای قابل شناسایی را تشکیل میدادند. با این وجود، موتور جستجوی BinaryEdge بیش از ۳,۵۶۴,۹۴۵ سرور اکسیم آسیبپذیر را نشان میدهد.
اکسیم یک کارگزار انتقال پیام (MTA) یا میل سرور متنباز محبوب است. اخیراً ۲۱ آسیبپذیری در این نرمافزار کشف شده است. این آسیبپذیریها که توسط تیم تحقیقاتی Qualys کشف و گزارش شدهاند، در مجموع ۲۱Nails نامیده شدهاند. ده مورد از آنها از راه دور و ۱۱ مورد به طور محلی قابل بهرهبرداری هستند. تمام نسخههای Exim ماقبل ۴.۹۴.۲ در معرض این آسیبپذیریها قرار دارند.
Bharat Jogi از مدیران ارشد Qualys میگوید: میتوان برخی از این آسیبپذیریها را زنجیروار با هم ترکیب کرده و دسترسی کامل اجرای کد و دسترسی root به دست آورد. یکی از آسیبپذیریها (CVE-2020-28017) در همه نسخههای Exim از سال ۲۰۰۴ به بعد وجود دارد (یعنی ابتدای تاریخچه گیت این نرمافزار).
آسیبپذیری و حملات قبلی روی Exim
سرورهای MTA یا به عبارتی میل سرورها هدف آسانی برای حمله هستند و برای مهاجمان نقطه شروعی برای نفوذ به شبکه به فراهم میکنند، زیرا اغلب از طریق اینترنت قابل دسترسی هستند. به گفته Qualys، پس از بهرهبرداری از آسیبپذیریها، مهاجمان میتوانند تنظیمات حساس سرور را تغییر دهند
و در نتیجه برای خود حساب کاربری جدیدی روی سرور بسازند.
مایکروسافت در ژوئن ۲۰۱۹ هشدار داده بود که یک کرم لینوکسی در حال سوء استفاده از یک آسیبپذیری اجرای کد راه دور روی اکسیم (CVE-2019-10149) است. همچنین سرورهای آژور میتوانستند از طریق این آسیبپذیری مورد هجوم واقع شوند. یک ماه بعد، مهاجمان شروع به نصب تروجان Watchdog روی سرورهای آسیبپذیر اکسیم کردند که سرورها را به یک باتنت ارزکاو مونرو ملحق میکرد.
در ماه مه ۲۰۲۰ نیز آژانس امنیت ملی آمریکا (NSA) اعلام کرد که هکرهای نظامی روسیه در حال سوء استفاده از این آسیبپذیری اکسیم بودهاند. این آسیبپذیری بازگشت جادوگر (Return of the WIZard) نیز نامیده شده بود.
مایکروسافت در ژوئن ۲۰۱۹ هشدار داده بود که یک کرم لینوکسی در حال سوء استفاده از یک آسیبپذیری اجرای کد راه دور روی اکسیم (CVE-2019-10149) است. همچنین سرورهای آژور میتوانستند از طریق این آسیبپذیری مورد هجوم واقع شوند. یک ماه بعد، مهاجمان شروع به نصب تروجان Watchdog روی سرورهای آسیبپذیر اکسیم کردند که سرورها را به یک باتنت ارزکاو مونرو ملحق میکرد.
در ماه مه ۲۰۲۰ نیز آژانس امنیت ملی آمریکا (NSA) اعلام کرد که هکرهای نظامی روسیه در حال سوء استفاده از این آسیبپذیری اکسیم بودهاند. این آسیبپذیری بازگشت جادوگر (Return of the WIZard) نیز نامیده شده بود.
بهروزرسانی
اکسیم میل سرور پیشفرض توزیع Debian لینوکس است و اخیراً نیز طبق گزارش Security space به عنوان محبوبترین MTA جهان شناخته شده است. طبق این گزارش، ۱,۰۸۴,۸۰۰ میل سرور در جهان وجود داشتند که از طریق اینترنت قابل دسترسی بودند. از این تعداد، ۵۸۱,۲۰۴ سرور قابل شناسایی بودهاند و ۳۴۴,۰۲۶ مورد آنها اکسیم بودهاند که ۵۹ درصد سرورهای قابل شناسایی را تشکیل میدادند. با این وجود، موتور جستجوی BinaryEdge بیش از ۳,۵۶۴,۹۴۵ سرور اکسیم آسیبپذیر را نشان میدهد.
همه این سرورها در صورتی که وصله نشوند میتوانند هدف حملات قرار گیرند، بنابراین همه کاربران اکسیم باید هر چه سریعتر آن را به جدیدترین نسخه بهروز کنند. البته اگر نسخه فعلی اکسیم شما ماقبل ۴.۹۴ باشد، ممکن است به خاطر ویژگی امنیتی "tainted data" لازم باشد پیکربندی اکسیم را نیز تغییر دهید. این ویژگی در نسخه ۴.۹۴ معرفی شده است. به جای این کار میتوانید از نسخههای شاخه taintwarn استفاده کنید. نسخههای این شاخه دارای یک گزینه پیکربندی به نام 'allow_insecure_tainted_data' هستند که باعث میشود خطاهای مربوط به tainted data به هشدار تبدیل شوند.
منبع : مرکز آپا سمنان
مطالب مرتبط
By accepting you will be accessing a service provided by a third-party external to https://behinrahkar.com/