هشدارهای افتایی
سرورهای Exim، که حدود 57 درصد سرورهای ایمیل اینترنت را اجرا می‌کنند، تحت حملات سنگین مهاجمین قرار گرفته‌اند. این حملات با سوء استفاده از یک نقص امنیتی موجود در سرورها انجام شده است تا سرورهای آسیب‌پذیر تحت کنترل مهاجمین قرار گیرند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، مهاجمین از آسیب‌پذیری CVE-2019-10149 برای نفوذ به سرورها استفاده کرده‌اند. این آسیب‌پذیری که در تاریخ 5 ژوئن (15 خرداد) بصورت عمومی اطلاع‌رسانی شد، با نام WIZard شناخته می‌شود و به مهاجمین با دسترسی راه دور اجازه می‌دهد تا ایمیل مخرب به سرورهای آسیب‌پذیر Exim ارسال و کد مخرب در آن‌ها اجرا کنند.
بدلیل تعداد سرورهای Exim نصب شده در سراسر اینترنت، تلاش بیشتری برای بهره‌برداری از آسیب‌پذیری CVE-2019-10149 انجام خواهد شد. اولین موج حملات در تاریخ 9 ژوئن (19 خرداد) و از یک سرور فرمان و کنترل در آدرس http://173[.]212.214.137/s انجام شده است. موج دوم حملات توسط گروه دیگری و در تاریخ 10 ژوئن (20 خرداد) انجام شد. هدف اصلی این حملات ایجاد یک درپشتی در سرورهای انتقال پیام (MTA) بود که با دانلود یک اسکریپت Shell و افزودن یک کلید SSH به حساب root انجام شد.
فرایند حمله از طریق ارسال یک ایمیل آغاز می‌شود که مهاجم با دستکاری فیلد RCPT_TO در ایمیل از آسیب‌پذیری Exim سوء استفاده می‌کند. با این کار یک اسکریپت Shell دانلود و بطور مستقیم اجرا می‌شود. در ادامه از طریق یک کلید عمومی به کاربر root، یک دسترسی SSH به سرور MTA باز می‌شود. هدف این حملات سیستم‌عامل‌های Red Hat Enterprise Linux (RHEL)، Debian، openSUSE و Alpine بوده است.
صاحبان سرورهای Exim می‌توانند با به‌روزرسانی به نسخه 4.92 از انجام این حملات جلوگیری کنند.


منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.