میلیون‌ها سرور ایمیل Exim در معرض حملات روز صفر RCE قرار گرفتند.

یک آسیب‌پذیری بحرانی روز صفر در تمام نسخه‌های نرم‌افزار Exim Mail Transfer Agent (MTA) کشف‌شده که به مهاجمان اجازه می‌دهد بدون احراز هویت، بتوانند بر روی سرورهای اینترنتی پابلیش شده، به اجرای کد از راه دور (RCE) بپردازند.

باگ امنیتی (CVE-2023-42115) که توسط یک محقق امنیتی ناشناس پیداشده و از طریق Trend Micro’s Zero Day Initiative (ZDI) فاش شده است، به دلیل ضعف نوشتن خارج از محدوده موجود، در سرویس SMTP است.

علیرغم اینکه این نوع مشکل می‌تواند منجر به خرابی نرم‌افزار یا خراب شدن داده‌ها پس از بهره‌برداری موفقیت‌آمیز شود، همچنین می‌تواند توسط مهاجمان برای اجرای کد یا دستور در سرورهای آسیب‌پذیر مورد سوءاستفاده قرار گیرد.

در یک توصیه امنیتی منتشرشده توسط ZDI در روز چهارشنبه، توضیح داده شد که: نقطه‌ضعف خاص در سرویس SMTP وجود دارد که به‌طور پیش‌فرض بر روی پورت TCP 25 گوش می‌دهد.

مشکل از عدم اعتبارسنجی مناسب داده‌های ارائه‌شده توسط کاربر است که می‌تواند منجر به نوشتن در پایان buffer شود. یک مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد درزمینهٔ حساب سرویس استفاده کند.

درحالی‌که ZDI در ژوئن ۲۰۲۲ آسیب‌پذیری را به تیم Exim گزارش کرد و اطلاعات مربوط به این آسیب‌پذیری را به درخواست فروشنده در می ۲۰۲۳ ارسال کرد، و توسعه‌دهندگان نتوانستند به‌روزرسانی در مورد پیشرفت پچ خود ارائه کنند.

درنتیجه، ZDI در ۲۷ سپتامبر یک مشاوره با جزئیات مربوط به‌روز صفر CVE-2023-42115 و جدول زمانی کامل همه مبادلات با تیم Exim منتشر کرد.

میلیون‌ها سرور در معرض حملات قرار گرفتند

سرورهای MTA مانند Exim اهداف بسیار آسیب‌پذیری هستند، به این دلیل که اغلب از طریق اینترنت قابل‌دسترسی هستند و به‌عنوان نقاط ورود آسان برای مهاجمان به شبکه هدف عمل می‌کنند.

آژانس امنیت ملی (NSA) در سه سال گذشته، در ماه می ۲۰۲۰، اعلام کرد که گروه هکر نظامی بدنام روسی Sandworm حداقل از اوت ۲۰۱۹ از آسیب‌پذیری حیاتی Exim CVE-2019-10149 (بازگشت جادوگر) سوءاستفاده می‌کند.
Exim همچنین MTA پیش‌فرض، در توزیع‌های لینوکس Debian است و بر اساس نتایج یک نظرسنجی سرور ایمیل از اوایل سپتامبر ۲۰۲۳، محبوب‌ترین نرم‌افزار MTA جهان می‌باشد.

بر اساس این نظرسنجی، Exim بر روی بیش از ۵۶ درصد از مجموع ۶۰۲۰۰۰ سرور پست الکترونیکی قابل‌دسترسی در اینترنت نصب‌شده است که بیش از ۳۴۲۰۰۰ سرور Exim را نشان می‌دهد.

در حال حاضر فقط بیش از ۳٫۵ میلیون سرور Exim در جستجوی Shodan به‌صورت آنلاین در معرض دید قرار می‌گیرند که بیشتر آن‌ها در ایالات‌متحده و پس‌ازآن روسیه و آلمان قرار دارند.

درحالی‌که هنوز پچی برای ایمن‌سازی سرورهای آسیب‌پذیر Exim در برابر حملات احتمالی در دسترس نیست، ZDI به مدیران توصیه کرد که دسترسی از راه دور از اینترنت را محدود کنند تا مانع از سوءاستفاده‌های دریافتی شوند.

ZDI هشدار داد: با توجه به ماهیت آسیب‌پذیری، تنها استراتژی برجسته کاهش تعامل با برنامه است.

پچ های خصوصی و سایر اشکالات در انتظار رفع شدن

ZDI همچنین پنج روز بعد Exim zero-days با درجه‌بندی شدت پایین‌تر را در این هفته اعلام کرد که با عنوان شدت بالا و متوسط برچسب‌گذاری شده‌اند:

: CVE-2023-42116 آسیب‌پذیری اجرای کد از راه دور Exim SMTP Challenge مبتنی بر سرریز Buffer (CVSS v3.0 8.1)
CVE-2023-42117: خنثی‌سازی نادرست از عناصر ویژه آسیب‌پذیری اجرای کد از راه دور (CVSS v3.0 8.1)
: CVE-2023-42118 آسیب‌پذیری Underflow کد از راه دور عدد صحیح (CVSS v3.0 7.5)
: CVE-2023-42119 آسیب‌پذیری Exim dnsdb خارج از محدوده خواندن افشای اطلاعات (CVSS v3.0 3.1)
(CVSS v3.0 3.7) خواندن افشای اطلاعات Exim NTLM Challenge Out-Of-Bounds آسیب‌پذیری: CVE-2023-42114

توسعه‌دهنده Exim، هایکو شلیترمن، پس از انتشار این مقاله در فهرست پستی Open Source Security (oss-sec) اعلام کرد که “رفع مشکلات در یک مخزن محافظت‌شده در دسترس است” برای CVE-2023-42114، CVE-2023-42115 و CVE-2023-42116 و”آماده برای اعمال توسط نگه‌دارندگان توزیع” می‌باشند.
هایکو شلیترمن افزود: “مسائل باقی‌مانده بحث‌برانگیز هستند یا اطلاعات نادرستی در مورد آن‌ها داریم که نیاز به رفع آن‌ها داریم. ما بسیار خوشحال خواهیم شد که تمام مسائل را رفع می‌کنیم. و به‌محض دریافت اطلاعات دقیق به این امر خواهیم پرداخت.”

یکی از نمایندگان ZDI به موضوع oss-sec پاسخ داد و گفت که توصیه‌های منتشرشده در این هفته به‌روز می‌شوند و به‌محض انتشار پچ های Exim، برچسب روز صفر حذف می‌شود.

نمایندهٔ ZDI اظهار کرد: چندین بار با توسعه‌دهندگان در مورد چندین گزارش باگ با پیشرفت کم، در ارتباط بوده است. پس‌ازاینکه تایم‌لاین افشای ما به مدت چند ماه گذشت و ما نیاز به افشای عمومی این باگ‌ها را اعلام کردیم، به ما گفته شد: ” شما کاری کنید که می‌خواهید”.

“اگر این اشکالات به‌درستی برطرف شده باشند، ما توصیه‌های خود را با پیوندی به مشاوره امنیتی، بررسی کد یا سایر اسناد عمومی که مشکل را بسته است، به‌روز می‌کنیم.”

منبع

مطالب مرتبط

آسیب‌پذیری بحرانی و فعال libwebp – CVE-2023-5129

بدافزار جدید مخفیانه و ماژولار Deadglyph که برای حمله به سازمان‌های دولتی استفاده می‌شود

مایکروسافت پچ‌های جدیدی را برای رفع دو نقص امنیتی Zero-Day منتشر کرد.