WIZard راه نفوذ به سرورهای ایمیل Exim شد
کد مطلب: 15463
تاریخ انتشار : يکشنبه ۲۶ خرداد ۱۳۹۸ ساعت ۱۳:۰۲
 
سرورهای ایمیل Exim گرفتار حملات سایبری سنگینی شده‌اند که از طریق آسیب‌پذیری معروف به WIZard اتفاق افتاد.
WIZard راه نفوذ به سرورهای ایمیل Exim شد
 
 
Share/Save/Bookmark
سرورهای ایمیل Exim گرفتار حملات سایبری سنگینی شده‌اند که از طریق آسیب‌پذیری معروف به WIZard اتفاق افتاد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سرورهای Exim، که حدود ۵۷ درصد سرورهای ایمیل اینترنت را اجرا می‌کنند، تحت حملات سنگین مهاجمان قرار گرفته‌اند. این حملات با سوءاستفاده از یک نقص امنیتی موجود در سرورها انجام شده‌است تا سرورهای آسیب‌پذیر تحت کنترل مهاجمان قرار گیرند.

مهاجمان از آسیب‌پذیری CVE-۲۰۱۹-۱۰۱۴۹ برای نفوذ به سرورها استفاده کرده‌اند. این آسیب‌پذیری که روز ۵ ژوئن به‌صورت عمومی اطلاع‌رسانی شد با نام WIZard شناخته می‌شود و به مهاجمان با دسترسی راه دور اجازه می‌دهد تا ایمیل مخرب به سرورهای آسیب‌پذیر Exim ارسال و کد مخرب در آنها اجرا کنند.

به‌دلیل تعداد سرورهای Exim نصب‌شده در سراسر اینترنت، تلاش بیشتری برای بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۹-۱۰۱۴۹ انجام خواهدشد. اولین موج حملات روز ۹ ژوئن و از یک سرور فرمان و کنترل در آدرس http://۱۷۳[.]۲۱۲,۲۱۴.۱۳۷/s انجام شده‌است. موج دوم، حملات توسط گروه دیگری و روز ۱۰ ژوئن انجام‌شد. هدف اصلی این حملات ایجاد یک درِ پشتی در سرورهای انتقال پیام (MTA) بود که با دانلود یک اسکریپت Shell و افزودن یک کلید SSH به حساب root انجام شد.

فرایند حمله از طریق ارسال یک ایمیل آغاز می‌شود که مهاجم با دست‌کاری فیلد RCPT_TO در ایمیل از آسیب‌پذیری Exim سوءاستفاده می‌کند. با این کار یک اسکریپت Shell دانلود و به‌طور مستقیم اجرا می‌شود. در ادامه از طریق یک کلید عمومی به کاربر root، یک دسترسی SSH به سرور MTA باز می‌شود. هدف این حملات سیستم‌عامل‌های Red Hat Enterprise Linux (RHEL) ،Debian ،openSUSE و Alpine بوده‌است.

صاحبان سرورهای Exim می‌توانند با به‌روزرسانی به نسخه ۴,۹۲ از انجام این حملات جلوگیری کنند.
مرجع : مرکز مدیریت راهبردی افتا