Pochta serverlarining yarmidan ko’pi muhim zaifliklarga qarshi himoyasiz.
Exim pochta uzatish agentida serverdagi buyruqlarni masofadan turib bajarish imkonini beruvchi zaiflik aniqlandi.
Qualys tadqiqotchilari barcha pochta serverlarining yarmidan ko’piga ta’sir qiluvchi muhim zaiflikni aniqladilar. Muammo Exim pochta uzatish agentida (MTA) aniqlandi – elektron pochta xabarlarini jo’natuvchidan qabul qiluvchiga etkazish uchun pochta serverlarida o’rnatilgan dastur. 2019 yil iyun oyidagi ma’lumotlarga ko’ra, Exim Internetga ko’rinadigan barcha serverlarning 57 foiziga (507 389) o’rnatilgan. Biroq, ba’zi ma’lumotlarga ko’ra, Exim qurilmalarining haqiqiy soni o’n barobar ko’p, ya’ni 5,4 million.
Qualys mutaxassislari tomonidan aniqlangan zaiflik dasturiy ta’minotning 4.87 dan 4.91 gacha versiyalariga ta’sir qiladi. Zaiflik masofaviy yoki mahalliy tajovuzkorga pochta serverida superfoydalanuvchi imtiyozlari bilan buyruqlarni bajarishga imkon beradi. Mahalliy tajovuzkor, hatto eng past imtiyozlarga ega bo’lsa ham, darhol undan foydalanishi mumkin. Biroq, eng katta xavf himoyasiz serverlarni internetni skanerlashi va zaif tizimlar ustidan nazoratni egallashi mumkin bo’lgan masofaviy tajovuzkorlardir.
Zaiflikdan standart konfiguratsiya bilan masofadan foydalanish uchun tajovuzkor yetti kun davomida zaif server bilan aloqani saqlab turishi kerak (har bir necha daqiqada bir bayt uzatish orqali). Tadqiqotchilar, shuningdek, tezroq ekspluatatsiya usullari mavjudligiga shubha qilishadi, ammo Exim kodining o’ta murakkabligi tufayli bu ular hozirgacha kashf etgan yagona usuldir. Bundan tashqari, zaiflikdan standart konfiguratsiyadan boshqa sozlamalar bilan masofadan turib foydalanish mumkin.
Muammo joriy yilning fevral oyida chiqarilgan Exim 4.92 da tuzatildi. Shunisi e’tiborga loyiqki, yangi dasturiy ta’minotni chiqarish vaqtida zaiflik noma’lum edi va u tasodifan tuzatildi. Tadqiqotchilar muammoni faqat Eximning eski versiyalari auditi paytida aniqladilar. Zaiflikka CVE-2019-10149 identifikatori tayinlangan va Qualys uni “Sehrgarning qaytishi” deb ataydi.
