ພົບ Exim mail server ຫຼາຍລ້ານເຄື່ອງ ຖືກໂຈມຕີດ້ວຍຊ່ອງໂຫວ່ Zero-day RCE

ພົບ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ຊອບແວ​​ Exim Mail Transfer Agent (MTA) ທີ່​ເຮັດໃຫ້​ແຮັກເກີ  (Hacker) ສາມາດ​ຫຼີກ​ລ່ຽງ​ການ​ກວດ​ສອບ​ສິດ​ ແລະ ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ (Code) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈາກ​ໄລຍະ​ໄກ Remote Code Execution (RCE) ເທິງ​ Exim mail server ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີ​ເນັດ​.

Exim ເປັນ​ Mail Transfer Agent (MTA) ທີ່​ເຮັດວຽກ​ເທິງ​ Debian Linux distros ແລະ ​ເປັນ​ຊອບແວ​ MTA ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ຫຼາຍ​ທີ່ສຸດ​ໃນ​ໂລກ​ ຕາມ​ການ​ສຳ​ຫຼວດ​ mail server ໃນ​ເດືອນ​ ກັນຍາ​ 2023.

CVE-2023-42115 ເປັນ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ຊອບ​ແວ​​ Exim Mail Transfer Agent (MTA) ທີ່​ເກີດ​ຈາກ​ Out-of-bounds Write ໃນ​ SMTP service ທີ່​ບໍ່​ປອດໄ​ພ​ ຊຶ່ງ​ສົ່ງ​ຜົນເຮັດ​ໃຫ້​ຊອບ​ແວ​​ຢຸດ​ການ​ເຮັດ​ວຽກ​ ຫຼື ​ເກີດ​ຄວາມ​ເສຍ​ຫາຍ​ຂອງ​ຂໍ້​ມູນ​ຫຼັງ​ຈາກ​ການ​ໂຈມ​ຕີ​ ລວມ​ເຖິງ​ການ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈາກ​ໄລ​ຍະ​ໄກ​ເທິງ​ Exim mail server ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​.

ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Zero Day Initiative (ZDI) ຂອງ​ Trend Micro ແລະ​ ລາຍ​ງານ​ໄປຫາ Exim ຕັ້ງ​ແຕ່​ເດືອນ ​ມິ​ຖຸ​ນາ 2022 ແລະ ​ສົ່ງ​ຂໍ້​ມູນ​ຂອງ​ຊ່ອງ​ໂຫວ່​ເພີ່ມຕື່ມ​ໃຫ້​ກັບ​ Exim ໃນ​ເດືອນ​ ພຶດສະພາ​ 2023 ອີກ​ຄັ້ງ​ ແຕ່​ກໍ​່ບໍ່​ໄດ້​ມີ​ການ​ລາຍ​ງານ​ການ​ອັບ​ເດດ​ແພັດດ້ານ​ຄວາມ​ປອດ​ໄພ (Patch)​ ດ້ວຍ​ເຫດ​ນີ້​ ZDI ຈຶ່ງ​ໄດ້​ເຜີຍແຜ່​ຊ່ອງ​ໂຫວ່​ໃນວັນທີ​ 27 ກັນຍາ​ 2023 ໂດຍ​ມີ​ລາຍ​ລະອຽດ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫວ່​ CVE-2023-42115 ແລະ​ ຊ່ວງເວລາ ​ໃນ​ການ​ປະ​ສານ​ງານ​ແຈ້ງ​ຂໍ້​ມູນ​ຊ່ອງ​ໂຫວ່​ໄປ​ຫາ​ Exim.

ຊ່ອງ​ໂຫວ​່​ເທິງ​ Exim mail server ເກີດ​ຈາກ​ບັນຫາ​ການ​ຂາດ​ການ​ກວດ​ສອບ​ຄວາມ​ຖືກ​ຕ້ອງ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ຜູ້​ໃຊ້​ລະ​ບຸ​ ຊຶ່ງ​ອາດຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ເກີດ​ Out-of-bounds Write ຂອງ​ buffer ເຮັດໃຫ້​ແຮັກເກີສາມາດ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ນີ້​ເພື່ອ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ໃນ​ບໍລິບົດຂອງ​ service account ໂດຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຢູ່ໃນ​ smtp service ເທິງ​ TCP port 25 ຕາມ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​.

Exim mail server ເປັນລ້ານ​ຖືກ​ໂຈມ​ຕີ​

MTA server ເຊັ່ນ​: Exim mail server ເປັນ​ເປົ້າ​ໝາຍ​ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ໃນ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ສູງ​ ເນື່ອງ​ຈາກ​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ຜ່ານ​ທາງ​ອິນ​ເຕີ​ເນັດ​ ແລະ​ ຈຸດ​ເລີ່ມ​ຕົ້ນ​ໃນ​ການ​ໂຈມ​ຕີ​ເພື່ອ​ເຂົ້າ​ເຖິງ​ເຄືອ​ຂ່າຍ​ຂອງ​ເປົ້າ​ໝາຍ.​

ເຊັ່ນ​ດຽວ​ກັບ​ສຳ​ນັກ​ງານ​ຄວາມໝັ້ນຄົງ​ແຫ່ງ​ຊາດ​ຂອງສະ​ຫະລັດອາເມລິກາ​ (NSA) ທີ່​ໄດ້ລາຍ​ງານ​ວ່າ​ໃນ​ ເດືອນ​ ພຶດສະພາ​ 2020 ໄດ້​ພົບ​ກຸ່ມແຮັກເກີທາງ​ທະຫານ​ຂອງ​ລັດ​ເຊຍ​ ໃນ​ຊື່​ Sandworm ໄດ້​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ Exim CVE-2019-10149 (The Return of the WIZard) ໃນ​ການ​ໂຈມ​ຕີ​ເປົ້າ​ໝາຍ​ມາ​ຕັ້ງ​ແຕ່​ເດືອນ​ ສິງ​ຫາ 2019.

ຈາກ​ການ​ສຳ​ຫຼວດ​ພົບ​ວ່າ​ Exim ໄດ້ຮັບ​ການ​ຕິດ​ຕັ້ງ​ເທິງ​ລະບົບ​ຫຼາຍກວ່າ​ 56% ຈາກ​ທັງ​ໝົດ​ 602,000 ອີ​ເມວເ​ຊີ​ເວີ​ ​ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ເທິງ​ອິນ​ເຕີ​ເນັດ​ ຄິດ​ເປັນ​ເ​ຊີເວີ​ Exim ຫຼາຍກວ່າ​ 342,000 ເຄື່ອງ​ ລວມ​ເຖິງ​ຈາກ​ການ​ຄົ້ນ​ຫາຂອງ​ Shodan ພົບ​ວ່າ​ ປະຈຸບັນ​ມີ​ເ​ຊີເວີ​ Exim ຫຼາຍກວ່າ​ 3.5 ລ້ານ​ ເຄື່ອງ ​ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ເທິງ​ອິນ​ເຕີ​ເນັດ​ ຊຶ່ງ​ສ່ວນ​ໃຫຍ່ຢູ່ໃນ​ສ​ະຫະລັດ​ອາ​ເມ​ລິກາ​ ຮອງ​ລົງ​ມາ​ຄື​ຣັດ​ເຊຍ ​ແລະ ​ເຢຍລະມັນ.

ປັດຈຸບັນ, ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ Exim mail server ຍັງ​ບໍ່​ມີ​ການ​ອອກ​ແພັດ​​ອັບ​ເດດ​ ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່ ແຕ່​ທາງ​ ZDI ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​​ຈຳ​ກັດ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ອິນ​ເຕີ​ເນັດ​ ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ຈາກ​ຊ່ອງ​ໂຫວ່​ໄວ້ກ່ອນ.

ເອກະສານອ້າງອີງ:

https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/
https://www.i-secure.co.th/2023/10/%e0%b8%9e%e0%b8%9a-exim-mail-server-%e0%b8%ab%e0%b8%a5%e0%b8%b2%e0%b8%a2%e0%b8%a5%e0%b9%89%e0%b8%b2%e0%b8%99%e0%b9%80%e0%b8%84%e0%b8%a3%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b8%87-%e0%b8%96%e0%b8%b9%e0%b8%81/
 

693 Views