یک نقص بزرگ در نرم افزار عامل انتقال ایمیل (MTA) Exim شناسایی شده است که بیش از یک سال بدون وصله از بین رفته است.

BleepingComputer گزارش داد که محققان شرکت Trend Micro's Zero Day Initiative در ژوئن سال گذشته توسط یک محقق ناشناس در مورد ضعف نوشتن خارج از محدوده کشف شده در سرویس SMTP اطلاعاتی دریافت کردند.

Exim یک MTA است که در پس‌زمینه سرورهای ایمیل اجرا می‌شود و هکرها می‌توانند از آن برای اجرای بدافزار در نقاط پایانی آسیب‌پذیر استفاده کنند.

مورد استفاده هکرهای روسی

این آسیب‌پذیری به‌عنوان CVE-2023-42115 ردیابی می‌شود و می‌توان از آن برای خراب کردن نرم‌افزار و خراب کردن داده‌های ارزشمند استفاده کرد، اما مهم‌تر از آن - می‌توان از آن برای اجرای کدهای مخرب بر روی سرورهای آسیب‌پذیر استفاده کرد.

ظاهراً Exim ابتدا در ژوئن ۲۰۲۲ و سپس دوباره در می ۲۰۲۳ در مورد این نقص مطلع شد، اما ظاهراً فایده ای نداشت. با توجه به ناکامی Exim در رسیدگی به آن، Trend Micro Zero Day Initiative اکنون توصیه‌ای را منتشر کرد که این نقص را شرح می‌دهد و جزئیات بحث خود را با Exim طی ماه‌ها شرح می‌دهد.

طبق گفته BleepingComputer ، سرورهای MTA مانند Exim یک هدف محبوب در میان هکرها هستند زیرا می توان از راه دور به آنها دسترسی داشت و برای انتقال به شبکه شرکتی گسترده تر استفاده کرد. همچنین ظاهراً "محبوب‌ترین نرم‌افزار MTA در جهان است که روی بیش از ۵۶% از ۶۰۲۰۰۰ سرور پست الکترونیکی متصل به اینترنت نصب شده است" (342000). این بیشتر به این دلیل است که با بسیاری از توزیع‌های محبوب لینوکس از جمله Debian و Red Hat همراه است.

NSA در آن زمان هشدار داد که سه سال پیش، Sandworm (یک بازیگر تهدید کننده تحت حمایت دولت روسیه) از نقصی که در Exim یافت شده بود برای نفوذ به نقاط پایانی استفاده می کرد.

«بازیگران روسی، بخشی از مرکز اصلی فناوری‌های ویژه (GTsST) اداره اطلاعات اصلی ستاد کل (GRU)، از این سوء استفاده برای گفت ن کاربران ممتاز، غیرفعال کردن تنظیمات امنیتی شبکه، اجرای اسکریپت‌های اضافی برای بهره‌برداری بیشتر از شبکه استفاده کرده‌اند. تقریباً دسترسی رویایی هر مهاجمی - تا زمانی که آن شبکه از یک نسخه اصلاح نشده Exim MTA استفاده می کند.» NSA گفت.

از طریق Bleeping Computer

بیشتر از TechRadar Pro