سرورهای Exim، که حدود ۵۷ درصد سرورهای ایمیل اینترنت را اجرا میکنند، تحت حملات سنگین مهاجمین قرار گرفتهاند. این حملات با سوء استفاده از یک نقص امنیتی موجود در سرورها انجام شده است تا سرورهای آسیبپذیر تحت کنترل مهاجمین قرار گیرند.
آیتیمن- به گزارش مرکز افتا،
به نقل از وبسایت ZDNet، مهاجمین از آسیبپذیری CVE-۲۰۱۹-۱۰۱۴۹ برای نفوذ به سرورها استفاده کردهاند. این آسیبپذیری که در تاریخ ۵ ژوئن (۱۵ خرداد) بصورت عمومی اطلاعرسانی شد، با نام WIZard شناخته میشود و به مهاجمین با دسترسی راه دور اجازه میدهد تا ایمیل مخرب به سرورهای آسیبپذیر Exim ارسال و کد مخرب در آنها اجرا کنند.
بدلیل تعداد سرورهای Exim نصب شده در سراسر اینترنت، تلاش بیشتری برای بهرهبرداری از آسیبپذیری CVE-۲۰۱۹-۱۰۱۴۹ انجام خواهد شد. اولین موج حملات در تاریخ ۹ ژوئن (۱۹ خرداد) و از یک سرور فرمان و کنترل در آدرس http://۱۷۳[.]۲۱۲,۲۱۴.۱۳۷/s انجام شده است.
موج دوم حملات توسط گروه دیگری و در تاریخ ۱۰ ژوئن (۲۰ خرداد) انجام شد. هدف اصلی این حملات ایجاد یک درپشتی در سرورهای انتقال پیام (MTA) بود که با دانلود یک اسکریپت Shell و افزودن یک کلید SSH به حساب root انجام شد.
فرایند حمله از طریق ارسال یک ایمیل آغاز میشود که مهاجم با دستکاری فیلد RCPT_TO در ایمیل از آسیبپذیری Exim سوء استفاده میکند. با این کار یک اسکریپت Shell دانلود و بطور مستقیم اجرا میشود. در ادامه از طریق یک کلید عمومی به کاربر root، یک دسترسی SSH به سرور MTA باز میشود. هدف این حملات سیستمعاملهای Red Hat Enterprise Linux (RHEL)، Debian، openSUSE و Alpine بوده است.
صاحبان سرورهای Exim میتوانند با بهروزرسانی به نسخه ۴,۹۲ از انجام این حملات جلوگیری کنند.