تم الكشف علنًا عن العديد من الثغرات الأمنية من خلال مبادرة Zero Day (ZDI) في Exim Mail Transfer Agent (MTA)، بما في ذلك CVE-2023-42115، وهي ثغرة أمنية حرجة تمكن المهاجمين غير المصادقين من تنفيذ التعليمات البرمجية عن بعد على خوادم Exim المكشوفة علنًا مع تمكين المصادقة “الخارجية”. تنتج هذه المشكلة عن التحقق من صحة الإدخال غير الصحيح الذي يؤدي إلى كتابة تعليمات برمجية عشوائية بعد نهاية المخزن المؤقت. التوصية هي تحديث Exim إلى الإصدارات المصححة، أو إذا لم يكن ذلك ممكنًا، قم بتقييد الوصول عن بعد إلى خوادم بريد Exim إذا تم تمكين المصادقة “الخارجية” لديك، أو التبديل إلى طريقة مصادقة مختلفة.
Exim هو خادم بريد منتشر جدًا، ويرجع ذلك جزئيًا إلى كونه MTA الافتراضي المثبت مسبقًا على Debian وتوزيعات Linux الأخرى. وفقًا لاستطلاع Mail Server الذي تم نشره مؤخرًا، يعد Exim أشهر برامج MTA في العالم. نظرًا لأن خوادم MTA يمكن الوصول إليها غالبًا عبر الإنترنت، فمن المرجح أن تكون بمثابة ناقل وصول أولي للمهاجمين.
يسمح CVE-2023-42115 للمهاجمين عن بعد غير المصادقين بتنفيذ تعليمات برمجية عشوائية على عمليات التثبيت المتأثرة لـ Exim، والتي تعمل عبر خدمة SMTP – والتي يتم عرضها على المنفذ 25 بشكل افتراضي، على الرغم من أن المنافذ 26 و587 و465 شائعة الاستخدام أيضًا. تنتج هذه المشكلة عن التحقق من صحة الإدخال غير الصحيح الذي يؤدي إلى كتابة خارج الحدود الموجودة في خدمة SMTP عند تمكين المصادقة “الخارجية”. ينتج عن هذا الكتابة بعد نهاية المخزن المؤقت. قد يؤدي الاستغلال الناجح لهذه الثغرة الأمنية إلى قيام مهاجم بتنفيذ تعليمات برمجية في سياق حساب الخدمة.
منذ الكشف، كان الباحثون الأمنيون يستكشفون كود مصدر Exim للعثور على نقاط الضعف ذات الصلة، مع ادعاء البعض بالنجاح. ولذلك، نتوقع ملاحظة الاستغلال في البرية قريبًا.
إلى جانب CVE-2023-42115 وهو أمر بالغ الأهمية، تعد CVE-2023-42116 وCVE-2023-42117 وCVE-2023-42118 ثغرات أمنية عالية الخطورة تسمح أيضًا بتنفيذ التعليمات البرمجية عن بعد في ظل ظروف معينة، في حين أن CVE-2023-42114 وCVE-2023-42119 منخفضة الخطورة ولا تسمح إلا بالكشف عن معلومات محدودة. وفي جميع الحالات، تتطلب نقاط الضعف هذه تمكين ميزات محددة حتى تكون قابلة للاستغلال.
| مكافحة التطرف العنيف | CVSS | متطلبات الاستغلال |
|---|---|---|
| CVE-2023-42115 | 9.8 | تم تكوين نظام المصادقة “الخارجي” ومتوفر |
| CVE-2023-42116 | 8.1 | وحدة “SPA” (المستخدمة لمصادقة NTLM) تم تكوينها ومتوفرة |
| CVE-2023-42117 | 8.1 | وكيل Exim (يختلف عن وكيل SOCKS أو HTTP) المستخدم مع خادم وكيل غير موثوق به |
| CVE-2023-42118 | 7.5 | حالة “SPF” المستخدمة في الرباط الصليبي الأمامي |
| CVE-2023-42114 | 3.7 | تم تكوين وحدة “SPA” (المستخدمة لمصادقة NTLM) لمصادقة خادم Exim إلى خادم رئيسي |
| CVE-2023-42119 | 3.1 | محلل DNS غير موثوق به |
وفقًا لبيانات Wiz، تحتوي 23% من البيئات السحابية على مثيل واحد على الأقل من Exim، لكننا نقدر أن أقل من 5% من البيئات كشفت علنًا عن خوادم Exim التي قد تكون معرضة لخطر الاستغلال.
لم تتلق جميع نقاط الضعف تصحيحات حتى الآن.
| مكافحة التطرف العنيف | نسخة مصححة | الحل البديل |
|---|---|---|
| CVE-2023-42114 | تم إصلاحه في الإصدارات 4.96.1 و4.97. | تعطيل مصادقة SPA (NTLM). |
| CVE-2023-42115 | تم إصلاحه في الإصدارات 4.96.1 و4.97. | تعطيل المصادقة الخارجية. |
| CVE-2023-42116 | تم إصلاحه في الإصدارات 4.96.1 و4.97. | لا تستخدم مصادقة SPA (NTLM). |
| CVE-2023-42117 | لا يوجد إصلاح متاح – من المفترض أن تتأثر جميع الإصدارات | لا تستخدم Exim خلف وكيل بروتوكول وكيل غير موثوق به |
| CVE-2023-42118 | لا يوجد إصلاح متاح – من المفترض أن تتأثر جميع الإصدارات | لا تستخدم spf الحالة في ACL الخاص بك |
| CVE-2023-42219 | لا يوجد إصلاح متاح – من المفترض أن تتأثر جميع الإصدارات | استخدم محلل DNS جديرًا بالثقة وقادرًا على التحقق من صحة البيانات وفقًا لأنواع سجلات DNS. |
يجب على المؤسسات ترقية مثيلات Exim إلى إصدار مصحح أو تطبيق الحلول البديلة المذكورة أعلاه. إذا كنت واثقًا من أنك لا تستخدم أيًا من الميزات المطلوبة للاستغلال، فيمكنك تقليل أولوية التصحيح في الوقت الحالي.
لتحديد ما إذا كنت تستخدم المصادقة “الخارجية”، قم بتشغيل الأمر التالي لتحديد موقع ملف التكوين الخاص بك. إذا كان يشمل driver = external، يجب أن تفكر في التبديل إلى طريقة مصادقة مختلفة أو تقييد الوصول عن بعد إلى الخادم تمامًا:
exim4 -bP configure_file
يمكن لعملاء Wiz استخدام الاستعلام والاستشارات المعدة مسبقًا في Wiz Threat Center للبحث عن جميع المثيلات الضعيفة في بيئتهم، أو قصر النتائج على المثيلات المكشوفة بشكل عام على منافذ SMTP الشائعة.
