سرورهای ایمیل Exim گرفتار حملات سایبری سنگینی شدهاند که از طریق آسیبپذیری معروف به WIZard اتفاق افتاد.
منبع : مرکز مدیریت راهبردی افتا
سرورهای ایمیل Exim گرفتار حملات سایبری سنگینی شدهاند که از طریق آسیبپذیری معروف به WIZard اتفاق افتاد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سرورهای Exim، که حدود ۵۷ درصد سرورهای ایمیل اینترنت را اجرا میکنند، تحت حملات سنگین مهاجمان قرار گرفتهاند. این حملات با سوءاستفاده از یک نقص امنیتی موجود در سرورها انجام شدهاست تا سرورهای آسیبپذیر تحت کنترل مهاجمان قرار گیرند.
مهاجمان از آسیبپذیری CVE-۲۰۱۹-۱۰۱۴۹ برای نفوذ به سرورها استفاده کردهاند. این آسیبپذیری که روز ۵ ژوئن بهصورت عمومی اطلاعرسانی شد با نام WIZard شناخته میشود و به مهاجمان با دسترسی راه دور اجازه میدهد تا ایمیل مخرب به سرورهای آسیبپذیر Exim ارسال و کد مخرب در آنها اجرا کنند.
بهدلیل تعداد سرورهای Exim نصبشده در سراسر اینترنت، تلاش بیشتری برای بهرهبرداری از آسیبپذیری CVE-۲۰۱۹-۱۰۱۴۹ انجام خواهدشد. اولین موج حملات روز ۹ ژوئن و از یک سرور فرمان و کنترل در آدرس http://۱۷۳[.]۲۱۲,۲۱۴.۱۳۷/s انجام شدهاست. موج دوم، حملات توسط گروه دیگری و روز ۱۰ ژوئن انجامشد. هدف اصلی این حملات ایجاد یک درِ پشتی در سرورهای انتقال پیام (MTA) بود که با دانلود یک اسکریپت Shell و افزودن یک کلید SSH به حساب root انجام شد.
فرایند حمله از طریق ارسال یک ایمیل آغاز میشود که مهاجم با دستکاری فیلد RCPT_TO در ایمیل از آسیبپذیری Exim سوءاستفاده میکند. با این کار یک اسکریپت Shell دانلود و بهطور مستقیم اجرا میشود. در ادامه از طریق یک کلید عمومی به کاربر root، یک دسترسی SSH به سرور MTA باز میشود. هدف این حملات سیستمعاملهای Red Hat Enterprise Linux (RHEL) ،Debian ،openSUSE و Alpine بودهاست.
صاحبان سرورهای Exim میتوانند با بهروزرسانی به نسخه ۴,۹۲ از انجام این حملات جلوگیری کنند.