بنا بر بررسیهای صورت گرفته، آسیبپذیری اخیر سرویس دهنده ایمیل exim (CVE-2019-10149) گستردگی فراوانی در کشور دارد. بخش بزرگی از سرورهای آسیبپذیر متعلق به شرکت های ارائه دهنده خدمات میزبانی اشتراکی است. این آسیب پذیری به دلیل استفاده سرویس دهندههای cPanel و WHMاز #exim است. لازم است مدیران این سیستم ها سریعا نسبت به رفع آسیبپذیری از طریق بروزرسانی exim اقدام کنند.
متاسفانه احتمال اینکه این سرورها تاکنون مورد نفوذ قرار گرفته باشند زیاد است. تاکنون گزارشها حاکی از انتشار بدافزار استخراج کننده رمزارز از طریق این آسیبپذیری بوده ولی هر نوع سواستفاده دیگری نیز ممکن است. لذا علاوه بر بروزرسانی و رفع آسیبپذیری لازم است بررسی دقیقی از شواهد و ردپاهای احتمالی از ورود غیرمجاز به سرورهای exim آسیبپذیر صورت گیرد. بطور کلی اقدامات زیر در بررسی سیستمها پیشنهاد میگردد:
- اطمینان از بروز بودن سرویس دهنده exim
- بررسی پراسسهای فعال در سیستم عامل و حذف موارد مشکوک
- بررسی پورتهای باز فعال (listening) مشکوک
- بررسی ارتباطات شبکه (connection) فعال
- بررسی cronjob های سیستم و حذف موارد مشکوک
- بررسی حسابهای کاربری سیستم عامل و حصول اطمینان از عدم وجود حسابهای کاربری غیرمجاز
- بررسی کلیدهای ssh موجود جهت احراز هویت با استفاده از کلید و اطمینان از عدم وجود کلیدهای ناشناس و غیرمجاز
- بررسی لاگهای مختلف سیستم از جمله لاگهای مربوط به ورود کاربران
- 16