مهاجمان از یک آسیبپذیری بحرانی در سرویس ایمیل Eximدر لینوکس، برای اجرای دستورات از راه دور استفاده میکنند که Cryptominer را دانلود و اجرا کنند و دیگر سرورها را نیز آلوده کنند.
یک کمپین گسترده از آسیبپذیری Exim MTA استفاده میکنند تا دستورات اجرای راه دور (RCE) را در سیستم لینوکس قربانیان به دست آورند. آمار حاکی از آن است بیش از 3.5 میلیون سرور در معرض خطر این حملات هستند. این حمله یک نقص در سرورهای پست الکترونیکی مبتنی بر Exim است، که تقریبا 57 درصد از سرورهای ایمیل اینترنتی را تشکیل میدهد.
محققان اظهار داشتند:” این نوع حملات پیامدهای بزرگی برای سازمان ها دارد و روند پاکسازی و رهایی از این نوع حمله پر هزینه و وقت گیر است.”
Exim چیست؟
سرورهای ایمیلMTA,
Exim های منبع باز
هستند که اساسا امکان دریافت، مسیر و ارسال پیام های ایمیل از کاربران محلی و
میزبان های راه دور را فراهم میکند. Exim MTA به طور پیش فرض در بعضی از سیستم های لینوکس موجود
است.
نقص
این نقص ناشی از اعتبار نامعتبر آدرس گیرنده در عملکردتابع deliver_message () در سرور است. این آسیبپذیری با شناسهCVE-2019-10149 ثبت شده سات که دارای شدت مخاطره 9.8 در مقیاس CVSS v3 است، در تاریخ 5 ژوئن در نسخه Exim 4.87 تا 4.91 کشف شد. در Exim نسخه 4.92 آسیب پذیر برطرف شده است
یکی از محققان در این باره اظهارداشت:”وصلهای در حال حاضر وجود دارد که آزمایشی است” موج اولیه استفاده از این آسیبپذیری – که شامل سوء استفاده از یک سرور فرماندهی و کنترل (C2) مخرب بود – برای اولین بار در تاریخ 9 ژوئن توسط فردی لینمن محقق شد .
اودر توییتر عنوان کرد: “اولین تلاشها برای بهره برداری از نقص امنیتی اخیر exim با اجرای فرمان از راه دور کشف شد. آسیبپذیری درحال تلاش برای بارگیری یک اسکریپت واقع در http://173.212.214.137/s است. اگر Exim را اجرا میکنید مطمئن شوید که آن بروز شده است. “محققان سپس موج دوم حملات را دنبال کردند که به نظر آنها توسط یک مهاجم متفاوت راه اندازی شده است.
حمله کرم
این آسیبپذیری جدید و پیشرفته ابتدا یک کلید تأیید هویت خصوصی RSA روی سرور SSH آسیب پذیر برای تأیید اعتبار ریشه نصب میکند. پس از راه اندازی فرماندهی از راه دور، مهاجم از اسکن پورت و آسیبهای دیگر خود را گسترش می دهد تا دیگر سرورهای درون شبکه را از تسخیر و یک coin-miner را نصب کند. علاوه بر این، به نظر می رسد که این آسیبپذیری با اقدامات اضافی نظیر نصب چندین بار در مراحل مختلف از جمله پورت اسکنر و coin-miner، برای تثبیت حضور خود در سیستم هدف به شدت فعال است.
شيوع آسيب پذيري سرورهای Exim می تواند مهاجمان را در مدت زماني نسبتا کوتاه به سرورهاي زيادي برسانند و درآمدزایی بالایی از این آسیبپذیری داشته باشند..”.