سرورهای ایمیل Exim، هدف حملات سایبری

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت ZDNet، مهاجمین از آسیب‌پذیری CVE-۲۰۱۹-۱۰۱۴۹ برای نفوذ به سرورها استفاده کرده‌اند. این آسیب‌پذیری که در تاریخ ۵ ژوئن (۱۵ خرداد) بصورت عمومی اطلاع‌رسانی شد، با نام WIZard شناخته می‌شود و به مهاجمین با دسترسی راه دور اجازه می‌دهد تا ایمیل مخرب به سرورهای آسیب‌پذیر Exim ارسال و کد مخرب در آن‌ها اجرا کنند.

بدلیل تعداد سرورهای Exim نصب شده در سراسر اینترنت، تلاش بیشتری برای بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۹-۱۰۱۴۹ انجام خواهد شد. اولین موج حملات در تاریخ ۹ ژوئن (۱۹ خرداد) و از یک سرور فرمان و کنترل در آدرس http://۱۷۳[.]۲۱۲,۲۱۴.۱۳۷/s انجام شده است.

موج دوم حملات توسط گروه دیگری و در تاریخ ۱۰ ژوئن (۲۰ خرداد) انجام شد. هدف اصلی این حملات ایجاد یک درپشتی در سرورهای انتقال پیام (MTA) بود که با دانلود یک اسکریپت Shell و افزودن یک کلید SSH به حساب root انجام شد.





فرایند حمله از طریق ارسال یک ایمیل آغاز می‌شود که مهاجم با دستکاری فیلد RCPT_TO در ایمیل از آسیب‌پذیری Exim سوء استفاده می‌کند. با این کار یک اسکریپت Shell دانلود و بطور مستقیم اجرا می‌شود. در ادامه از طریق یک کلید عمومی به کاربر root، یک دسترسی SSH به سرور MTA باز می‌شود. هدف این حملات سیستم‌عامل‌های Red Hat Enterprise Linux (RHEL)، Debian، openSUSE و Alpine بوده است.

صاحبان سرورهای Exim می‌توانند با به‌روزرسانی به نسخه ۴,۹۲ از انجام این حملات جلوگیری کنند.