آزمایشگاه و مرکز تخصصی آپا دانشگاه تبریز

NewApa.Models.ClassList.LsNews
آسیب پذیری
1398/03/20

آسیب پذیری Command Injection در mail سرور متن باز Exim، میلیون ها سیستم را تهدید می کند

در برخی از موارد، این آسیب پذیری به هکرها امکان اجرای دستورات با سطح دسترسی بالا را می دهد.

میلیون ها ماشین متصل به اینترنت که mail سرور Exim برروی آنها در حال اجر می باشد، ممکن است که به رخنه ی امنیتی جدیدی که اخیرا کشف شده، آسیب پذیر باشند. که در برخی موارد به هکر امکان اجرای تمامی دستورات با سطح دسترسی بالا را می دهد.

 

این آسیب پذیری که به ورژن ۴.۸۷ منتشر شده در ماه آوریل بر می گردد، به راحتی برروی سیستم آسیب پذیر با تنظیمات اولیه، توسط کاربر محلی با سطح دسترسی متوسط قابل سواستفاده می باشد. تمام کاری که یک هکر باید انجام دهد، این است که ایمیلی به آدرس "${run{…}}@localhost"ارسال کند. که "localhost" یک زیردامنه ی محلی موجود در سیستم آسیب پذیر Exim می باشد. که هکر بوسله ی آن می تواند هر دستوری که بخواهد با سطح دسترسی root اجرا کند.

 

این آسیب پذیری اجرای کد، از راه دور نیز قابل بهره برداری می باشد هرچند، با محدودیت هایی همراه است. بیشترین سناریوی احتمالی برای بهره برداری های از راه دور، موقعی است که سیستم مربوطه با تنظیمات اولیه ی زیر در حال اجرا باشد:

 

 

 

 

  • عبارت "verify = recipient" توسط ادمین (Administrator) حذف شود. احتمالا به دلیل  جلوگیری از user enumeration توسط توابع RCPT TO. در این موارد، متد اکسپلویت یا بهره برداری محلی گفته شده در بالا کار می کند.

 

  • سرور Exim طوری تنظیم شده باشد، که تگ های سمت محلی آدرس گیرنده را شناسایی کند. (برای مثال از طریق: local_part_sufix=+*:-*). هکرها می­­توانند با RCPT TO balrog+${run{…}}، از متد اکسپلویت محلی استفاده ی مجدد نموده و از این آسیب پذیری سواستفاده نمایند. که "balrog" نام کاربر محلی می باشد.

 

  • سرور Exim بنحوی تنظیم شود که mail را به یک دامنه ی remote  به عنوان MX دوم، رله کند. هکر می تواند با یک "RCPT TO ${run{…}}@khazad.dum" مجددا از متد اکسپلویت محلی استفاده نماید. که "khazad.dum" یک از relay_to_domains های سرور Exim می باشد.

 

این آسیب پذیری همچنین برروی  سرور Exim با تنظیمات پیش فرض قابل بهره برداری می باشد. البته هکر باید ارتباط با سرور را به مدت ۷ روز داشته باشد، به صورت ارسال یک بایت در هر پنج دقیقه. محققان Qualys، شرکتی که این آسیب پذیری را کشف کرده، امکان روشهای ساده تر و موثر تر برای بهره برداری از این آسیب پذیری را رد نکرده­اند.

 

این آسیب پذیری که شناسه ی CVE-2019-10149 را دارد، ورژن های ۴.۸۷ تا ۴.۹۱را تحت تاثیر قرار می دهد. این رخنه در ورژن ۴.۹۲ که در ماه فوریه منتشر شد، برطرف گردیده است. اما به عنوان آسیب پذیری شناخته نشده بود و بسیاری از توزیع های لینوکس همچنان با نسخه ی آسیب پذیر Exim، منتشر شده اند.

 

یک جستجو در BinaryEdge (سرویسی که دستگاه­های متصل به اینترنت را ثبت می کند) نشان داد که بیش از ۴.۷ میلیون سیستم از نسخه ی آسیب پذیر Exim استفاده می کنند. شکی نیس که درصد قابل توجهی از این سیستم ها در معرض تهدید حملات می باشند.

نظرات
برای ثبت نظر لطفا وارد شوید
ورود