بقلم توماس فولتين، الكاتب في أمن المعلومات لدي شركة إسيت.
يحتوي Exim وكيل نقل البريد الإلكتروني المعروف (MTA) على ثغرة أمنية حرجة قد تمكن المهاجمين من تشغيل الأوامر التي يختارونها على خوادم البريد غير المتطابقة عن بُعد، وتم إكتشاف ذلك بواسطة الباحثون في Qualys.
وبالتتبع للثغرة الأمنية CVE-2019-10149 يتم تنفيذ الأوامر ليصيب إنشائات Exim بخلل 4.87 ومن خلال 4.91. وتم إصلاح الخلل باستخدام أحدث إصدار (4.92) من برنامج مفتوح المصدر. ووفقًا لـ Qualys، لم يتم تحديد المشكلة باعتبارها ثغرة أمنية مع الإصدار الأخير في فبراير.
يتم تثبيت البرنامج المسؤول عن نقل الرسائل من كمبيوتر إلى آخر على جزء كبير من خوادم البريد المرئية عبر الإنترنت. ويبدو أن أكثر من 95 % منهم يستخدمون إصدارات Exim الضعيفة.
وفقًا لـ Qualys، تمكن الثغرة المهاجم من تنفيذ الأوامر على خادم Exim الضعيف كمستخدم “روت” (root user) و الإستحواذ عليه بشكل فعال.
تعتبر الثغرة الأمنية “قابلة للاستغلال بشكل لا قيمة له” بواسطة مهاجم محلي، حتى مع وجود حساب منخفض الامتياز. ورغم ذلك قد يكون من المقلق فكرة الاستغلال عن بُعد لإعداد Exim الافتراضي وغير الافتراضي. ولكن الجيد في الأمر أنه لن يكون سهلاً على المهاجمين للقيام بذلك.
“هذه الثغرة الأمنية قابلة للاستغلال فورًا بواسطة مهاجم محلي (ومهاجم عن بُعد في بعض التكوينات الغير افتراضية). لاستغلال الثغرة في التكوين الافتراضي عن بُعد، يجب على المهاجم أن يبقي الاتصال بالخادم الضعيف مفتوحًا لمدة 7 أيام (عن طريق إرسال بايت واحد كل بضع دقائق). ومع ذلك، ونظرًا للتعقيد الشديد لقانون Exim، لا يمكننا ضمان أن طريقة الاستغلال هذه فعالة؛ قد توجد هناك طرق أسرع “.
تتوفر تفاصيل إضافية حول كيفية استغلال العيب الموجود في Exim في الاستشارات المذكورة أعلاه.
وأبان مشرفو Exim أنه لا يوجد دليل على أن الثغرة قيد الاستغلال الفعلي وأن التصحيح “موجود بالفعل جاري اختباره ونقله إلى جميع الإصدارات التي أصدرناها منذ 4.87”.
في ملاحظة مختلفة، تم توثيق المخاطر التي تواجهها خوادم البريد في بحث «إسيت» الأخير الذي كشف أول البرامج الضارة التي تم تصميمها خصيصًا لاستهداف خوادم بريد Microsoft Exchange.