آسیب پذیری بحرانی سرور ایمیل Exim

Censys هشدار داده است که بیش از ۱.۵ میلیون سرور ایمیل Exim در برابر یک نقص امنیتی بحرانی (CVE-2024-39929)، آسیب پذیر می‌باشند. این آسیب پذیری که در نسخه ۴.۹۸ برطرف شده است، به مهاجمان اجازه می‌دهد تا فیلترهای امنیتی را دور بزنند.

Exim یک عامل انتقال ایمیل (MTA[1]) است که در سیستم عامل‌های یونیکس استفاده می‌شود. نرم افزار رایگان و متن باز Exim تحت مجوز عمومی گنو توزیع شده است و هدف این است که یک پست الکترونیکی عمومی و انعطاف پذیر با امکانات گسترده برای بررسی ایمیل‌های دریافتی فراهم آورد.

این آسیب ‌پذیری به دلیل تجزیه نادرست نام فایل‌های هدر RFC2231 رخ میدهد. باگ سرور ایمیل Exim به مهاجمان راه دور اجازه می‌دهد تا با دور زدن مکانیزم حفاظتی مسدودکننده افزونه $mime_filename، پیوست‌های اجرایی مخرب را به صندوق پستی کاربران نهایی تحویل دهند.

چنانچه کاربری یکی از این فایل‌های مخرب را دانلود یا اجرا کند، ممکن است سیستم در معرض نفوذ قرار گیرد. به گفته Censys، تعداد ۶,۵۴۰,۰۴۴ سرور ایمیل عمومی SMTP وجود دارد که از این تعداد ۴,۸۳۰,۷۱۹ مورد سرور ایمیل Exim را اجرا می‌کنند.

همچنین از دهم جولای 2024، تعداد ۱,۵۶۷,۱۰۹ سرور ایمیل Exim قابل دسترس توسط Censys مشاهده شده است که یک نسخه بالقوه آسیب پذیر (۴.۹۷.۱ یا قدیمی‌تر) را اجرا می‌کنند و اغلب در ایالات متحده، روسیه و کانادا قرار دارند.

اگرچه دریافت‌کنندگان ایمیل می‌بایست پیوست مخرب موجود در این ایمیل‌ها را اجرا کنند تا تحت تأثیر آسیب پذیری قرار گیرند، اما این نقص به عوامل تهدید اجازه می‌دهد تا بررسی‌های امنیتی را براساس پسوند فایل دور بزنند. این مورد به آن‌ها اجازه می‌دهد فایل‌های مخاطره‌آمیز را که معمولاً مسدود شده‌اند، مانند فایل‌های اجرایی، به صندوق پستی هدف خود تحویل دهند.

به مدیرانی که نمی‌توانند فوراً سرور ایمیل Exim را ارتقا دهند، توصیه می‌شود دسترسی از راه دور به سرورهای خود را (از بستر اینترنت) محدود کنند.

سرورهای MTA، مانند Exim، اغلب مورد هدف قرار می‌گیرند چرا که همیشه از طریق اینترنت در دسترس می‌باشند و یافتن نقاط ورودی احتمالی به شبکه هدف را آسان می‌کنند.

Exim همچنین نرم ‌افزار پیش‌فرض MTA لینوکس دبیان است و بر اساس نظرسنجی سرور ایمیل که در اوایل این ماه انجام شده است، محبوب‌ترین نرم ‌افزار MTA در جهان به شمار می‌آید.

همچنین، بر اساس جستجوی Shodan، بیش از ۳.۳ میلیون سرور ایمیل Exim در حال حاضر به صورت آنلاین قابل دسترس هستند که بیشتر آنها در ایالات متحده، روسیه و هلند قرار دارند.

شکل – سرورهای ایمیل Exim قابل دسترسی آنلاین (Shodan)

آژانس امنیت ملی (NSA) در می 2020 اعلام کرد که یک گروه هک روسی به نام Sandworm، حداقل از اوت 2019 از یک نقص بحرانی CVE-2019-10149  در Exim سوء استفاده می‌کند.

توسعه‌دهندگان Exim اخیراً، در ماه اکتبر ۲۰۲۳، سه آسیب پذیری روز صفر را پچ کرده‌اند که یکی از آنها (CVE-2023-42115) ، میلیون‌ها سرور ایمیل Exim متصل به اینترنت را در معرض حملات RCE قرار میدهد.

[1] mail transfer agent

منابع