آرمین رضائی مهر

در طول پروسه تحلیل و بازبینی آخرین تغییرات صورت گرفته برروی کدهای سرور ایمیل Exim، پزوهشگران امنیت Qualys یک آسیب‌پذیری اجرای کد از راه دور برروی نسخه 4.87 تا 4.91 کشف و شناسایی کردند.
این آسیب‌پذیری در اصل یک آسیب‌پذیری از نوع اجرای دستور از راه دور Remote Command Execution است و با اجرای کد از راه دور Remote Code Execution تفاوت دارد.
مهاجمین با بهره‌بردرای از این آسیب‌پذیری می‌توانند از راه دور دستورات دلخواه با استفاده از تابع سیستمی execv() با سطح دسترسی ریشه برروی سامانه هدف اجرا کنند، بدون اینکه تخریب حافظه‌ای رخ بدهد یا نیاز به استفاده از تکنیک برنامه‌نویسی بازگشتی Return-Oriented Programming باشد.

این آسیب‌پذیری توسط یک مهاجم محلی (همچنین یک مهاجم از راه دور تحت یک سری پیکربندی‌های غیر پیش‌فرض) قابل بهره‌برداری است.
قابل ذکر است، به منظور بهره‌برداری از راه دور با تنظیمات پش‌فرض سرور، یک مهاجم باید یک ارتباط را به مدت 7 روز با سرور آسیب‌پذیر نگه دارد و هر چند دقیقه یک بار، چند بایت به سمت سرور هدف انتقال دهد. با این حال، به دلیل پیچیدگی زیاد کد Exim، پژوهشگران ضمانت نکرده‌اند که این متد بهره‌برداری تنها متد از این آسیب‌پذیری است.
از همین روی ممکن است، متدهای سریع‌تری هم وجود داشته باشد.
میل سرور Exim از نسخه 4.87 به بعد به صورت پیش‌فرض آسیب‌پذیر است هنگامیکه ماکرو ifdef EXPERIMENTAL_EVENT # به ifndef DISABLE_EVENT# تبدیل می‌شود.
نسخه‎های قدیمی‌تر هم ممکن است، آسیب‌پذیر باشند اگر EXPERIMENTAL_EVENT به صورت دستی فعال شده باشد.
راهکارهای پیشگیری و مقابله:
برای رفع آسیب‌پذیری مذکور کافی است، سرور ایمیل Exim را به آخرین بروزرسانی‌های ارائه شده توسط توسعه‌دهندگان این محصول بروزرسانی کنید.
مرجع:
https://www.qualys.com/2019/06/05/cv...d-rce-exim.txt