هشدارهای افتایی
آسیب‌پذیری‌های حیاتی تازه کشف شده در نرم‌افزار Exim به مهاجمین اجازه می‌دهد تا کد دلخواه خود را از راه دور اجرا کنند و با پیکربندی‌های پیش‌فرض، دسترسی root را در سرورهای ایمیل به دست آورند.
تیم تحقیقاتی Qualys  تعداد 21 آسیب‌پذیری امنیتی (10 مورد قابل بهره‌برداری از راه دور و 11 مورد محلی) را شناسایی کرده است که به طور کلی با 21Nails شناخته می‌شوند.
همه نسخه‌های منتشر شده قبل از Exim 4.94.2 در برابر حملاتی که با بهره‌برداری از 21Nails حاصل می‌شوند آسیب‌پذیر هستند.
برخی از آسیب‌پذیری‌ها می‌توانند با هم ترکیب شوند تا یک دسترسی غیرمجاز از راه دور به دست آورند و از امکانات سطح دسترسی root در Exim Server برخوردار شوند.
یکی از نقاط ضعف کشف شده توسط تیم تحقیقاتی Qualys که آسیب‌پذیری CVE-2020-28017 است بر تمام نسخه‌های Exim تا سال 2004 تأثیر می‌گذارد. لیستی از همه آسیب‌پذیری‌های 21Nails که توسط Qualys کشف شده در جدول زیر ارایه شده است.
کد آسیب‌پذیری توضیحات نوع
CVE-2020-28007 Link attack in Exim’s log directory محلی
CVE-2020-28008 Assorted attacks in Exim’s spool directory محلی
CVE-2020-28014 Arbitrary file creation and clobbering محلی
CVE-2021-27216 Arbitrary file deletion محلی
CVE-2020-28011 Heap buffer overflow in queue_run() محلی
CVE-2020-28010 Heap out-of-bounds write in main() محلی
CVE-2020-28013 Heap buffer overflow in parse_fix_phrase() محلی
CVE-2020-28016 Heap out-of-bounds write in parse_fix_phrase() محلی
CVE-2020-28015 New-line injection into spool header file (local) محلی
CVE-2020-28012 Missing close-on-exec flag for privileged pipe محلی
CVE-2020-28009 Integer overflow in get_stdinput() محلی
CVE-2020-28017 Integer overflow in receive_add_recipient() از راه دور
CVE-2020-28020 Integer overflow in receive_msg() از راه دور
CVE-2020-28023 Out-of-bounds read in smtp_setup_msg() از راه دور
CVE-2020-28021 New-line injection into spool header file (remote) از راه دور
CVE-2020-28022 Heap out-of-bounds read and write in extract_option() از راه دور
CVE-2020-28026 Line truncation and injection in spool_read_header() از راه دور
CVE-2020-28019 Failure to reset function pointer after BDAT error از راه دور
CVE-2020-28024 Heap buffer underflow in smtp_ungetc() از راه دور
CVE-2020-28018 Use-after-free in tls-openssl.c از راه دور
CVE-2020-28025 Heap out-of-bounds read in pdkim_finish_bodyhash() از راه دور
CVE-2020-28007 Link attack in Exim’s log directory محلی


سرورهای Exim یک هدف آسان برای حملات هستند
سرورهای MTA مانند Exim با توجه به اینکه در اکثر موارد از طریق اینترنت قابل‌دسترسی هستند و یک نقطه ورود ساده به شبکه هدف برای مهاجمان فراهم می‌کنند، هدفی آسان برای حملات هستند.
پس از اکسپلویت، مهاجمان می‌توانند تنظیمات ایمیل را در سرورهای ایمیل تغییر دهند و حساب‌های جدیدی را ایجاد کنند.
مایکروسافت در ژوئن 2019 درباره یک کرم فعال لینوکس با کد آسیب‌پذیری CVE-2019-10149  (باگ EXIM RCE) هشدار داد و گفت که سرورهای Azure می‌توانند با سوءاستفاده از این حفره هک شوند.
یک ماه بعد، مهاجمان شروع به بهره‌برداری از سرورهای آسیب‌پذیر Exim کردند تا Trojan Watchbog Linux را نصب کرده و آنها را به یک بات‌نت کریپتو ماینینگ Monero اضافه کنند.
آژانس امنیت ملی (NSA) در ماه می سال 2020 گفت که هکرهای نظامی روسی Sandworm حداقل از آگوست 2019 از نقص مهم CVE-2019-10149  بهره‌برداری کرده‌اند.

توصیه اکید به کاربران میلیونی Exim برای نصب وصله
بر اساس نظرسنجی‌های ماه می 2021 ، Exim MTA که ایمیل سرور پیش‌فرض در توزیع‌های لینوکس دبیان است، در حال حاضر محبوب‌ترین MTA جهان است.
بر اساس این نظرسنجی، این سرویس در بیش از 59٪ از مجموع یک میلیون و 048 هزار و 800 ایمیل سرور قابل‌دسترس در اینترنت نصب شده است که نمایانگر بیش از 344،026 سرور Exim است.
بااین‌حال، به استناد گزارش BinaryEdge (شکل زیر) بیش از 3 میلیون و 564 هزار و 945 ایمیل سرور Exim وجود دارد که از نسخه‌های آسیب‌پذیر استفاده می‌کنند. اگر این موارد سریعاً در برابر آسیب‌پذیری‌های 21Nail وصله نشوند، می‌توانند قربانی حملات اجرای فرمان از راه دور شوند.
              
 سرورهای آسیب‌پذیر Exim

بنابراین، همه کاربران Exim باید بلافاصله برای جلوگیری از هرگونه حمله ورودی، نسخه Exim خود، ارتقا دهند.
به گفته توسعه دهندگان Exim، اگر بخواهید نسخه Exim قدیمی‌تر از 4.94 را ارتقا دهید، به دلیل مشکلات داده‌های آلوده، باید پیکربندی سرور خود را دوباره انجام دهید. در لینک زیر جزئیات فنی بیشتر در مورد هر یک از آسیب‌پذیری‌های 21Nail در راهنمای امنیتی Qualys موجود است. 
منبع: 
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.