آسیب‌پذیری در سرویس EXIM و موج جدید حملات - مرکز تخصصی آپا دانشگاه قم (CSIRT)

مهاجمان از یک آسیب‌پذیری بحرانی در سرویس ایمیل Eximدر لینوکس، برای اجرای دستورات از راه دور استفاده می‌کنند که Cryptominer را دانلود و اجرا کنند و دیگر سرورها را نیز آلوده کنند.

یک کمپین گسترده از آسیب‌پذیری Exim MTA استفاده می‌کنند تا دستورات اجرای راه دور (RCE) را در سیستم لینوکس قربانیان به دست آورند. آمار حاکی از آن است بیش از 3.5 میلیون سرور در معرض خطر این حملات هستند. این حمله یک نقص در سرورهای پست الکترونیکی مبتنی بر Exim است، که تقریبا 57 درصد از سرورهای ایمیل اینترنتی را تشکیل می‌دهد.

محققان اظهار داشتند:” این نوع حملات پیامدهای بزرگی برای سازمان ها دارد و روند پاکسازی و رهایی از این نوع حمله پر هزینه و وقت گیر است.”

Exim چیست؟

سرورهای ایمیلMTA, Exim های منبع باز هستند که اساسا امکان دریافت، مسیر و ارسال پیام های ایمیل از کاربران محلی و میزبان های راه دور را فراهم می‌کند. Exim MTA به طور پیش فرض در بعضی از سیستم های لینوکس موجود است.

نقص

این نقص ناشی از اعتبار نامعتبر آدرس گیرنده در عملکردتابع deliver_message () در سرور است. این آسیب‌پذیری با شناسهCVE-2019-10149 ثبت شده سات که دارای شدت مخاطره 9.8 در مقیاس CVSS v3 است، در تاریخ 5 ژوئن در نسخه Exim 4.87 تا 4.91 کشف شد. در Exim نسخه 4.92 آسیب پذیر برطرف شده است

یکی از محققان در این باره اظهارداشت:”وصله‌ای در حال حاضر وجود دارد که آزمایشی است” موج اولیه استفاده از این آسیب‌پذیری – که شامل سوء استفاده از یک سرور فرماندهی و کنترل (C2) مخرب بود – برای اولین بار در تاریخ 9 ژوئن توسط فردی لینمن محقق شد .

اودر توییتر عنوان کرد: “اولین تلاش‌ها برای بهره برداری از نقص امنیتی اخیر exim با اجرای فرمان از راه دور کشف شد. آسیب‌پذیری درحال تلاش برای بارگیری یک اسکریپت واقع در http://173.212.214.137/s است. اگر Exim را اجرا می‌کنید مطمئن شوید که آن بروز شده است. “محققان سپس موج دوم حملات را دنبال کردند که به نظر آنها توسط یک مهاجم متفاوت راه اندازی شده است.

حمله کرم

این آسیب‌پذیری جدید و پیشرفته ابتدا یک کلید تأیید هویت خصوصی RSA روی سرور SSH آسیب پذیر برای تأیید اعتبار ریشه نصب می‌کند. پس از راه اندازی فرماندهی از راه دور، مهاجم از اسکن پورت و آسیب‌های دیگر خود را گسترش می دهد تا دیگر سرورهای درون شبکه را از تسخیر و یک coin-miner را نصب کند. علاوه بر این، به نظر می رسد که این آسیب‌پذیری با اقدامات اضافی نظیر نصب چندین بار در مراحل مختلف از جمله پورت اسکنر و coin-miner، برای تثبیت حضور خود در سیستم هدف به شدت فعال است.

شيوع آسيب پذيري سرورهای Exim می تواند مهاجمان را در مدت زماني نسبتا کوتاه به سرورهاي زيادي برسانند و درآمدزایی بالایی از این آسیب‌پذیری داشته باشند..”.

Millions of Linux Servers Under Worm Attack Via Exim Flaw