آبان ۲۸, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

باگ حیاتی در نرم‌افزار Exim، فیلترهای امنیتی را در ۱.۵ میلیون سرور ایمیل دور می‌زند.

Censys هشدار می دهد که بیش از ۱٫۵ میلیون نمونه Exim Email Transfer Agent (MTA) در برابر یک آسیب پذیری حیاتی که به هکرها اجازه می دهد فیلترهای امنیتی را دور بزنند، اصلاح نشده اند.

این آسیب پذیری که به‌عنوان CVE-2024-39929 شناخته می‌شود ، روز چهارشنبه توسط توسعه‌دهندگان Exim پچ شده است. همچنین بر نسخه‌های Exim تا نسخه ۴٫۹۷٫۱ تأثیر می‌گذارد.

این آسیب‌پذیری به دلیل تفسیر نادرست نام فایل‌های هدر چندخطی RFC2231 است که می‌تواند به مهاجمان راه دور اجازه دهد پیوست‌های اجرایی مخرب را با دور زدن مکانیزم حفاظت از مسدودسازی پسوند $mime_filename  به صندوق‌های پستی کاربران نهایی تحویل دهند.

Censys هشدار داد: اگر کاربر یکی از این فایل‌های مخرب را دانلود یا اجرا کند، ممکن است سیستم به خطر بیفتد.

تا تاریخ ۱۰ ژوئیه ۲۰۲۴، Censys گزارش داده که بیش از ۱.۵ میلیون سرور Exim که به صورت عمومی در دسترس هستند، نسخه‌ای از نرم‌افزار را اجرا می‌کنند که احتمالاً آسیب‌پذیر است و بیشتر این سرورها در کشورهای آمریکا، روسیه و کانادا قرار دارند.

اگرچه گیرندگان ایمیل هنوز باید پیوست مخرب را باز کنند تا تحت تأثیر قرار گیرند، اما این آسیب پذیری به مهاجمان اجازه می‌دهد تا از بررسی‌های امنیتی مبتنی بر پسوند فایل عبور کنند. این امر به آن‌ها اجازه می‌دهد فایل‌های خطرناکی که معمولاً مسدود می‌شوند، مانند فایل‌های اجرایی، را به صندوق‌های پستی هدف‌هایشان ارسال کنند.

به مدیرانی که نمی‌توانند بلافاصله Exim را به‌روزرسانی کنند، توصیه می‌شود دسترسی از راه دور به سرورهای خود را از اینترنت محدود کنند تا جلوی تلاش‌های بهره‌برداری ورودی را بگیرند.

میلیون ها سرور به صورت آنلاین در معرض دید قرار گرفتند

سرورهای MTA، مانند Exim، اغلب در حملات هدف قرار می‌گیرند، زیرا تقریباً همیشه از طریق اینترنت در دسترس هستند و یافتن نقاط ورودی احتمالی به شبکه هدف را آسان می‌کنند.

Exim همچنین نرم‌افزار MTA پیش‌فرض در سیستم عامل دبیان لینوکس است و بر اساس یک نظرسنجی از سرورهای ایمیل در اوایل این ماه، محبوب‌ترین نرم‌افزار MTA در جهان است.

بر اساس این نظرسنجی، بیش از ۵۹ درصد از ۴۰۹۲۵۵ سرور پست الکترونیکی قابل دسترسی در اینترنت در طول بررسی، Exim را اجرا می‌کردند که بیش از ۲۴۱۰۰۰ نمونه Exim را نشان می‌داد.

همچنین، بر اساس جستجوی Shodan، بیش از ۳٫۳ میلیون سرور Exim در حال حاضر به صورت آنلاین در معرض دید قرار گرفته اند که بیشتر آنها در ایالات متحده و پس از آن روسیه و هلند قرار دارند.

 NSA در سال ۲۰۲۰ اعلام کرد که گروه هکری Sandworm از یک آسیب‌پذیری مهم در Exim با شناسه CVE-2019-10149 استفاده کرده و این بهره‌برداری از این نقص از سال ۲۰۱۹ شروع شده است.

در اکتبر، توسعه‌دهندگان Exim سه آسیب‌پذیری جدید را که هنوز شناخته نشده و توسط Trend Micro فاش شده بود، برطرف کردند. یکی از این آسیب‌پذیری‌ها با شناسه CVE-2023-42115 باعث می‌شد که میلیون‌ها سرور Exim که به اینترنت متصل هستند، بدون نیاز به احراز هویت، در معرض حملات اجرای کد از راه دور قرار بگیرند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب