พบ Exim mail server หลายล้านเครื่อง ถูกโจมตีด้วยช่องโหว่ Zero-day RCE

พบช่องโหว่ Zero-day ในซอฟต์แวร์ Exim Mail Transfer Agent (MTA) ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) บน Exim mail server ที่เข้าถึงได้จากอินเทอร์เน็ต

Exim เป็น Mail Transfer Agent (MTA) ที่ทำงานบน Debian Linux distros และเป็นซอฟต์แวร์ MTA ที่ได้รับความนิยมมากที่สุดในโลก ตามการสำรวจ mail server เมื่อเดือนกันยายน 2023

CVE-2023-42115 เป็นช่องโหว่ Zero-day ในซอฟต์แวร์ Exim Mail Transfer Agent (MTA) ที่เกิดจาก Out-of-bounds Write ใน SMTP service ที่ไม่ปลอดภัย ซึ่งส่งผลให้ซอฟต์แวร์หยุดการทำงาน หรือเกิดความเสียหายของข้อมูลหลังจากการโจมตี รวมไปถึงการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Exim mail server ที่มีช่องโหว่

ช่องโหว่นี้ถูกค้นพบโดย Zero Day Initiative (ZDI) ของ Trend Micro และรายงานไปยัง Exim ตั้งแต่เดือนมิถุนายน 2022 และส่งข้อมูลของช่องโหว่เพิ่มเติมให้กับ Exim ในเดือนพฤษภาคม 2023 อีกครั้ง แต่ก็ไม่ได้มีการรายงานการอัปเดตแพตซ์ด้านความปลอดภัย ด้วยเหตุนี้ ZDI จึงได้เผยแพร่ช่องโหว่เมื่อวันที่ 27 กันยายน 2023 โดยมีรายละเอียดเกี่ยวกับช่องโหว่ CVE-2023-42115 และไทม์ไลน์ในการประสานงานแจ้งข้อมูลช่องโหว่ไปยัง Exim

ช่องโหว่บน Exim mail server เกิดจากปัญหาการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ระบุ ซึ่งอาจส่งผลให้เกิด Out-of-bounds Write ของ buffer ทำให้ Hacker สามารถใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่งในบริบทของ service account โดยช่องโหว่ดังกล่าวอยู่ใน smtp service บน TCP port 25 ตามค่าเริ่มต้น

Exim mail server นับล้านถูกโจมตี

โดย MTA server เช่น Exim mail server เป็นเป้าหมายที่มีความเสี่ยงในการโจมตีช่องโหว่สูง เนื่องจากสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต และจุดเริ่มต้นในการโจมตีเพื่อเข้าถึงเครือข่ายของเป้าหมาย

เช่นเดียวกับสำนักงานความมั่นคงแห่งชาติสหรัฐฯ (NSA) ที่ได้รายงานว่าในเดือนพฤษภาคม 2020 ได้พบกลุ่ม Hacker ทางทหารของรัสเซียในชื่อ Sandworm ได้ใช้ประโยชน์จากช่องโหว่ Exim CVE-2019-10149 (The Return of the WIZard) ในการโจมตีเป้าหมายมาตั้งแต่เดือนสิงหาคม 2019

จากการสำรวจพบว่า Exim ได้รับการติดตั้งบนระบบมากกว่า 56% จากทั้งหมด 602,000 อีเมลเซิร์ฟเวอร์ที่เข้าถึงได้บนอินเทอร์เน็ต คิดเป็นเซิร์ฟเวอร์ Exim มากกว่า 342,000 เครื่อง รวมถึงจากการค้นหาของ Shodan พบว่า ปัจจุบันมีเซิร์ฟเวอร์ Exim มากกว่า 3.5 ล้านเครื่องที่เข้าถึงได้บนอินเทอร์เน็ต ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา รองลงมาคือรัสเซียและเยอรมนี นอกจากนี้ยังพบว่ามีประเทศไทยรวมอยู่ด้วย

ปัจจุบันช่องโหว่ Zero-day ใน Exim mail server ยังไม่มีการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ แต่ทาง ZDI แนะนำให้ผู้ดูแลระบบทำการจำกัดการเข้าถึงจากอินเทอร์เน็ต เพื่อป้องกันการโจมตีจากช่องโหว่ไปก่อน

ที่มา : beepingcomputer