مشکل امنیتی سرور ایمیل Exim و وجود RCE

وجود باگ امنیتی در سرور ایمیل Exim و صحت سنجی نادرست ادرس گیرنده در تابع dliver_message() در src/dliver.c منجربه RCE می‌شود.

شناسه آسیب‌پذیری:

CVE-2019-10149

شدت آسیب‌پذیری:

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Base Score: 9.8 Critical

نسخه‌های آسیب‌پذیری:

Exim versions 4.87 to 4.91 (inclusive).

نیازمند تعامل کاربری: خیر

سال شناسایی:‌ ۲۰۱۹

توضیحات:

درحال حاضر گروه‌های هکرهای کلاه سیاه به طور فعالانه در حال اکسپلویت آسیب‌پذیری سرور ایمیل Exim هستند. طبق گزارش NSA(National Security Agency) اکسلپلویت آسیب‌پذیری از سرورهای ایمیل را اعلام نمودند.

باگ در نرم‌افزار Exim Mail Transfer Agent(MTA) وجود دارد و این یک نرم‌افزار متن باز براساس لینوکس و سیستم‌های یونیکس است. اساس کار این سرویس دریافت، مسیریابی و انتقال آدرس و فرستادن پیام ایمیل از سمت کاربر لوکال و هاست از راه دور است. در بعضی از توزیع‌های لینوکس مانند Debian و RedHat نرم‌افزار Exim به صورت پیش‌فرض نصب است. به‌علاوه براساس گزارش سال پیش، ۵۷ درصد سرورهای ایمیل تحت اینترنت بر اساس Exim هستند.

این باگ به حمله کننده ناشناس از راه دور اجازه اجرای دستور با سطح دسترسی root, نصب نرم‌افزار و تغییر دیتا برای ایجاد حساب‌کاربری جدید در سرورهای Exim را می‌دهد. برای اکسپلویت آسیب‌پذیری می‌توان از یک ایمیل دستکاری شده از قسمت “MAIL From” یک پیام SMTP(Simple Mail Transfer Protocol) استفاده کرد.

طبق گزارش NSA، زمانی که یک بار به سرور Exim نفوذ شود، می‌توان اسکریپت shell اجرا کرد که از طریق دامین آلوده می‌توان درپشتی همیشگی ایجاد کرد. از این در پشتی برای شناسایی، جاسوسی پیام‌های ایمیل، فعالیتهای مخرب جانبی و اجرای بدافزارها استفاده می‌شود.

اسکریپت مخرب روی سیستم هدف چندین کار انجام می‌دهد که شامل اضافه کردن کاربر با سطح دسترسی ممتاز، از کار انداختن تنظیمات امنیتی شبکه و تغییر تنظیمات SSH برای دسترسی از راه دور به قسمت‌های دیگر است.

طبق نظر NSA مدیرهای شبکه باید سریعا در Exim نسخه MTA را به نسخه ۴.۹۳ یا جدیدتر به‌روز رسانی کنند که مشکل را محدود کنند.

منابع:

  1. NVD CVE-2019-10149
  2. Exim

در صورت تمایل به اشتراگ بگذارید