هشدار مجدد در خصوص سوء استفاده از آسیب‌پذیری سرویس دهنده ایمیل EXIM

هشدار مجدد در خصوص سوء استفاده از آسیب‌پذیری سرویس دهنده ایمیل EXIM

تاریخ ایجاد

بنا بر بررسی‌های صورت گرفته، آسیب‌پذیری اخیر سرویس دهنده ایمیل exim (CVE-2019-10149) گستردگی فراوانی در کشور دارد. بخش بزرگی از سرورهای آسیب‌پذیر متعلق به شرکت های ارائه دهنده خدمات میزبانی اشتراکی است. این آسیب پذیری به دلیل استفاده سرویس دهنده‌های cPanel و WHMاز #exim است. لازم است مدیران این سیستم ها سریعا نسبت به رفع آسیب‌پذیری از طریق بروزرسانی exim اقدام کنند.

متاسفانه احتمال اینکه این سرورها تاکنون مورد نفوذ قرار گرفته باشند زیاد است. تاکنون گزارش‌ها حاکی از انتشار بدافزار استخراج کننده رمزارز از طریق این آسیب‌پذیری بوده ولی هر نوع سواستفاده دیگری نیز ممکن است. لذا علاوه بر بروزرسانی و رفع آسیب‌پذیری لازم است بررسی دقیقی از شواهد و ردپاهای احتمالی از ورود غیرمجاز به سرورهای exim آسیب‌پذیر صورت گیرد. بطور کلی اقدامات زیر در بررسی سیستم‌ها پیشنهاد می‌گردد:

  • اطمینان از بروز بودن سرویس دهنده exim
  • بررسی پراسس‌های فعال در سیستم عامل و حذف موارد مشکوک
  • بررسی پورت‌های باز فعال (listening) مشکوک
  • بررسی ارتباطات شبکه (connection) فعال
  • بررسی cronjob های سیستم و حذف موارد مشکوک
  • بررسی حساب‌های کاربری سیستم عامل و حصول اطمینان از عدم وجود حساب‌های کاربری غیرمجاز
  • بررسی کلید‌های ssh موجود جهت احراز هویت با استفاده از کلید و اطمینان از عدم وجود کلیدهای ناشناس و غیرمجاز
  • بررسی لاگ‌های مختلف سیستم از جمله لاگ‌های مربوط به ورود کاربران
برچسب‌ها