یک آسیبپذیری بحرانی روز صفر در تمام نسخههای نرمافزار Exim Mail Transfer Agent (MTA) کشفشده که به مهاجمان اجازه میدهد بدون احراز هویت، بتوانند بر روی سرورهای اینترنتی پابلیش شده، به اجرای کد از راه دور (RCE) بپردازند.
باگ امنیتی (CVE-2023-42115) که توسط یک محقق امنیتی ناشناس پیداشده و از طریق Trend Micro’s Zero Day Initiative (ZDI) فاش شده است، به دلیل ضعف نوشتن خارج از محدوده موجود، در سرویس SMTP است.
علیرغم اینکه این نوع مشکل میتواند منجر به خرابی نرمافزار یا خراب شدن دادهها پس از بهرهبرداری موفقیتآمیز شود، همچنین میتواند توسط مهاجمان برای اجرای کد یا دستور در سرورهای آسیبپذیر مورد سوءاستفاده قرار گیرد.
در یک توصیه امنیتی منتشرشده توسط ZDI در روز چهارشنبه، توضیح داده شد که: نقطهضعف خاص در سرویس SMTP وجود دارد که بهطور پیشفرض بر روی پورت TCP 25 گوش میدهد.
مشکل از عدم اعتبارسنجی مناسب دادههای ارائهشده توسط کاربر است که میتواند منجر به نوشتن در پایان buffer شود. یک مهاجم میتواند از این آسیبپذیری برای اجرای کد درزمینهٔ حساب سرویس استفاده کند.
درحالیکه ZDI در ژوئن ۲۰۲۲ آسیبپذیری را به تیم Exim گزارش کرد و اطلاعات مربوط به این آسیبپذیری را به درخواست فروشنده در می ۲۰۲۳ ارسال کرد، و توسعهدهندگان نتوانستند بهروزرسانی در مورد پیشرفت پچ خود ارائه کنند.
درنتیجه، ZDI در ۲۷ سپتامبر یک مشاوره با جزئیات مربوط بهروز صفر CVE-2023-42115 و جدول زمانی کامل همه مبادلات با تیم Exim منتشر کرد.
میلیونها سرور در معرض حملات قرار گرفتند
سرورهای MTA مانند Exim اهداف بسیار آسیبپذیری هستند، به این دلیل که اغلب از طریق اینترنت قابلدسترسی هستند و بهعنوان نقاط ورود آسان برای مهاجمان به شبکه هدف عمل میکنند.
آژانس امنیت ملی (NSA) در سه سال گذشته، در ماه می ۲۰۲۰، اعلام کرد که گروه هکر نظامی بدنام روسی Sandworm حداقل از اوت ۲۰۱۹ از آسیبپذیری حیاتی Exim CVE-2019-10149 (بازگشت جادوگر) سوءاستفاده میکند.
Exim همچنین MTA پیشفرض، در توزیعهای لینوکس Debian است و بر اساس نتایج یک نظرسنجی سرور ایمیل از اوایل سپتامبر ۲۰۲۳، محبوبترین نرمافزار MTA جهان میباشد.
بر اساس این نظرسنجی، Exim بر روی بیش از ۵۶ درصد از مجموع ۶۰۲۰۰۰ سرور پست الکترونیکی قابلدسترسی در اینترنت نصبشده است که بیش از ۳۴۲۰۰۰ سرور Exim را نشان میدهد.
در حال حاضر فقط بیش از ۳٫۵ میلیون سرور Exim در جستجوی Shodan بهصورت آنلاین در معرض دید قرار میگیرند که بیشتر آنها در ایالاتمتحده و پسازآن روسیه و آلمان قرار دارند.
درحالیکه هنوز پچی برای ایمنسازی سرورهای آسیبپذیر Exim در برابر حملات احتمالی در دسترس نیست، ZDI به مدیران توصیه کرد که دسترسی از راه دور از اینترنت را محدود کنند تا مانع از سوءاستفادههای دریافتی شوند.
ZDI هشدار داد: با توجه به ماهیت آسیبپذیری، تنها استراتژی برجسته کاهش تعامل با برنامه است.
پچ های خصوصی و سایر اشکالات در انتظار رفع شدن
ZDI همچنین پنج روز بعد Exim zero-days با درجهبندی شدت پایینتر را در این هفته اعلام کرد که با عنوان شدت بالا و متوسط برچسبگذاری شدهاند:
: CVE-2023-42116 آسیبپذیری اجرای کد از راه دور Exim SMTP Challenge مبتنی بر سرریز Buffer (CVSS v3.0 8.1)
CVE-2023-42117: خنثیسازی نادرست از عناصر ویژه آسیبپذیری اجرای کد از راه دور (CVSS v3.0 8.1)
: CVE-2023-42118 آسیبپذیری Underflow کد از راه دور عدد صحیح (CVSS v3.0 7.5)
: CVE-2023-42119 آسیبپذیری Exim dnsdb خارج از محدوده خواندن افشای اطلاعات (CVSS v3.0 3.1)
(CVSS v3.0 3.7) خواندن افشای اطلاعات Exim NTLM Challenge Out-Of-Bounds آسیبپذیری: CVE-2023-42114
توسعهدهنده Exim، هایکو شلیترمن، پس از انتشار این مقاله در فهرست پستی Open Source Security (oss-sec) اعلام کرد که “رفع مشکلات در یک مخزن محافظتشده در دسترس است” برای CVE-2023-42114، CVE-2023-42115 و CVE-2023-42116 و”آماده برای اعمال توسط نگهدارندگان توزیع” میباشند.
هایکو شلیترمن افزود: “مسائل باقیمانده بحثبرانگیز هستند یا اطلاعات نادرستی در مورد آنها داریم که نیاز به رفع آنها داریم. ما بسیار خوشحال خواهیم شد که تمام مسائل را رفع میکنیم. و بهمحض دریافت اطلاعات دقیق به این امر خواهیم پرداخت.”
یکی از نمایندگان ZDI به موضوع oss-sec پاسخ داد و گفت که توصیههای منتشرشده در این هفته بهروز میشوند و بهمحض انتشار پچ های Exim، برچسب روز صفر حذف میشود.
نمایندهٔ ZDI اظهار کرد: چندین بار با توسعهدهندگان در مورد چندین گزارش باگ با پیشرفت کم، در ارتباط بوده است. پسازاینکه تایملاین افشای ما به مدت چند ماه گذشت و ما نیاز به افشای عمومی این باگها را اعلام کردیم، به ما گفته شد: ” شما کاری کنید که میخواهید”.
“اگر این اشکالات بهدرستی برطرف شده باشند، ما توصیههای خود را با پیوندی به مشاوره امنیتی، بررسی کد یا سایر اسناد عمومی که مشکل را بسته است، بهروز میکنیم.”
منبع
مطالب مرتبط
آسیبپذیری بحرانی و فعال libwebp – CVE-2023-5129
بدافزار جدید مخفیانه و ماژولار Deadglyph که برای حمله به سازمانهای دولتی استفاده میشود
مایکروسافت پچهای جدیدی را برای رفع دو نقص امنیتی Zero-Day منتشر کرد.
