آسیب پذیری سرویس ایمیل توسط Exim

یک شرکت امنیت سایبری که در زمینه امنیت و سازگاری برنامه‌ها در بستر ابر تخصص دارد، در گزارشی اعلام کرد در نسخه‌های 4.87 تا 4.91 نرم‌افزار Exim یک آسیب‌پذیری جدی وجود دارد. این نقص امنیتی بیش از نیمی از سرورهای ایمیل اینترنت را تحت تاثیر قرار داده است.

سرویس انتقال پیام Exim

Exim که یکی از بهترین سرویس‌های انتقال پیام است، در واقع یک نرم‌افزارمتن‌باز و رایگان است که بر روی سرورهای ایمیل اجرا می‌شود تا ایمیل‌ها را از فرستنده به گیرنده ارسال کند. 

نزدیک به نیمی از کل سرورهای ایمیل که در اینترنت در دسترس هستند برای انتقال پیام‌ها از نرم افزار Exim بهره می‌برند.

این آسیب‌پذیری، چیزی شبیه به امکان اجرای کد از راه دور است، هرچند که با اجرای کد از راه دور متفاوت است ولی به همان اندازه می‌تواند مخرب باشد. کد مخرب نرم‌افزاری است که سعی در سوء‌استفاده از یک آسیب‌پذیری شناخته شده را دارد.

آسیب پذیری Exim به یک مهاجم در شبکه محلی یا حتی از راه دور اجازه ‌می‌دهد دستورات را به عنوان یک کاربر root (کاربری با بالاترین سطح دسترسی) بر روی سرور Exim اجرا کند.

آسیب پذیری Exim

آسیب‌پذیری موجود در نسخه‌های گفته شده Exim، می‌تواند توسط یک مهاجم محلی که در سرور ایمیل حضوردارد مورد سواستفاده قرار بگیرد. اما خطر واقعی از جانب هکرهای از راه دور است که از این آسیب‌پذیری بهره می‌برند. آنها می‌توانند اینترنت را برای یافتن سرورهای آسیب‌پذیر اسکن کرده و پس از یافتن، با اجرای کدهایی سیستم‌های آنها را کنترل نمایند.

طبق گفته محققان، در صورتی که Exim روی تنظیمات پیشفرض باشد، برای اینکه بتوان از این آسیب‌پذیری – از راه دور – استفاده کرد، مهاجم باید به سرور متصل شده و حدود یک هفته اتصال به سرور آسیب‌پذیر را باز نگه دارد (با انتقال یک بایت در هر چند دقیقه).

البته به دلیل پیچیدگی زیاد کد Exim نمی‌توان گفت که تنها با این روش هکرها امکان دسترسی به سرور را دارند، بلکه امکان دارد روش‌های سریعتری نیز برای دسترسی آنها وجود داشته باشد. زیرا به گفته کارشناسان امنیتی؛ در صورتی که Exim تنظیمات غیرپیش‌فرض و مشخصی داشته باشد، امکان بهره‌برداری سریع‌تر را در سناریوهای از راه دور فراهم می‌کند.

حل آسیب‌پذیری به صورت تصادفی در نسخه‌های بعدی

این آسیب‌پذیری به صورت کاملا اتفاقی و هنگام انتشار نسخه 4.92 برطرف شد؛ توسعه دهندگان نسخه جدید بدون این که از این مشکل آگاه باشند، در نسخه جدیدی که ارائه کردند این حفره بزرگ امنیتی را رفع کردند.

در نتیجه، اکنون صاحبان سرورهای ایمیل که از Exim بهره می‌برند، می‌توانند با به‌روزرسانی آن به نسخه 4.92 از بروز حملات و کنترل سرورها توسط مهاجمان جلوگیری کنند.

لزوم استفاده از نسخه جدید

ظاهرا تنها 4.34 درصد از کل سرورهایی که از Exim بهره  می‌برند، آخرین نسخه آنرا نصب کرده‌اند. محققان امنیتی با ارسال ایمیلی به نگهدارنده‌های توزیع لینوکس گفته است این آسیب‌پذیری به ‌صورت بدیهی قابل استفاده است و احتمالا سواستفاده‌های بیشتری در آینده اتفاق خواهد افتاد.

آسیب‌پذیری موجود در Exim، با شناسه CVE-2019-10149 مورد پیگیری قرار گرفته است اما تحت عنوان Return of the WIZard هم خوانده می‌شود. زیرا این آسیب‌پذیری شبیه آسیب‌پذیری‌های قدیمی WIZو DEBUG است که در دهه 90 روی سرور ایمیل Sendmail تاثیرگذار بوده است.