Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ພົບ Exim mail server ຫຼາຍລ້ານເຄື່ອງ ຖືກໂຈມຕີດ້ວຍຊ່ອງໂຫວ່ Zero-day RCE

ພົບ Exim mail server ຫຼາຍລ້ານເຄື່ອງ ຖືກໂຈມຕີດ້ວຍຊ່ອງໂຫວ່ Zero-day RCE

ພົບ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ຊອບແວ​​ Exim Mail Transfer Agent (MTA) ທີ່​ເຮັດໃຫ້​ແຮັກເກີ  (Hacker) ສາມາດ​ຫຼີກ​ລ່ຽງ​ການ​ກວດ​ສອບ​ສິດ​ ແລະ ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ (Code) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈາກ​ໄລຍະ​ໄກ Remote Code Execution (RCE) ເທິງ​ Exim mail server ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນ​ເຕີ​ເນັດ​.

Exim ເປັນ​ Mail Transfer Agent (MTA) ທີ່​ເຮັດວຽກ​ເທິງ​ Debian Linux distros ແລະ ​ເປັນ​ຊອບແວ​ MTA ທີ່​ໄດ້ຮັບ​ຄວາມ​ນິຍົມ​ຫຼາຍ​ທີ່ສຸດ​ໃນ​ໂລກ​ ຕາມ​ການ​ສຳ​ຫຼວດ​ mail server ໃນ​ເດືອນ​ ກັນຍາ​ 2023.

CVE-2023-42115 ເປັນ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ຊອບ​ແວ​​ Exim Mail Transfer Agent (MTA) ທີ່​ເກີດ​ຈາກ​ Out-of-bounds Write ໃນ​ SMTP service ທີ່​ບໍ່​ປອດໄ​ພ​ ຊຶ່ງ​ສົ່ງ​ຜົນເຮັດ​ໃຫ້​ຊອບ​ແວ​​ຢຸດ​ການ​ເຮັດ​ວຽກ​ ຫຼື ​ເກີດ​ຄວາມ​ເສຍ​ຫາຍ​ຂອງ​ຂໍ້​ມູນ​ຫຼັງ​ຈາກ​ການ​ໂຈມ​ຕີ​ ລວມ​ເຖິງ​ການ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈາກ​ໄລ​ຍະ​ໄກ​ເທິງ​ Exim mail server ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​.

ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Zero Day Initiative (ZDI) ຂອງ​ Trend Micro ແລະ​ ລາຍ​ງານ​ໄປຫາ Exim ຕັ້ງ​ແຕ່​ເດືອນ ​ມິ​ຖຸ​ນາ 2022 ແລະ ​ສົ່ງ​ຂໍ້​ມູນ​ຂອງ​ຊ່ອງ​ໂຫວ່​ເພີ່ມຕື່ມ​ໃຫ້​ກັບ​ Exim ໃນ​ເດືອນ​ ພຶດສະພາ​ 2023 ອີກ​ຄັ້ງ​ ແຕ່​ກໍ​່ບໍ່​ໄດ້​ມີ​ການ​ລາຍ​ງານ​ການ​ອັບ​ເດດ​ແພັດດ້ານ​ຄວາມ​ປອດ​ໄພ (Patch)​ ດ້ວຍ​ເຫດ​ນີ້​ ZDI ຈຶ່ງ​ໄດ້​ເຜີຍແຜ່​ຊ່ອງ​ໂຫວ່​ໃນວັນທີ​ 27 ກັນຍາ​ 2023 ໂດຍ​ມີ​ລາຍ​ລະອຽດ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫວ່​ CVE-2023-42115 ແລະ​ ຊ່ວງເວລາ ​ໃນ​ການ​ປະ​ສານ​ງານ​ແຈ້ງ​ຂໍ້​ມູນ​ຊ່ອງ​ໂຫວ່​ໄປ​ຫາ​ Exim.

ຊ່ອງ​ໂຫວ​່​ເທິງ​ Exim mail server ເກີດ​ຈາກ​ບັນຫາ​ການ​ຂາດ​ການ​ກວດ​ສອບ​ຄວາມ​ຖືກ​ຕ້ອງ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ຜູ້​ໃຊ້​ລະ​ບຸ​ ຊຶ່ງ​ອາດຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ເກີດ​ Out-of-bounds Write ຂອງ​ buffer ເຮັດໃຫ້​ແຮັກເກີສາມາດ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ນີ້​ເພື່ອ​ເອີ້ນ​ໃຊ້​ຄຳ​ສັ່ງ​ໃນ​ບໍລິບົດຂອງ​ service account ໂດຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຢູ່ໃນ​ smtp service ເທິງ​ TCP port 25 ຕາມ​ຄ່າ​ເລີ່ມ​ຕົ້ນ​.

Exim mail server ເປັນລ້ານ​ຖືກ​ໂຈມ​ຕີ​

MTA server ເຊັ່ນ​: Exim mail server ເປັນ​ເປົ້າ​ໝາຍ​ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ໃນ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ສູງ​ ເນື່ອງ​ຈາກ​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ຜ່ານ​ທາງ​ອິນ​ເຕີ​ເນັດ​ ແລະ​ ຈຸດ​ເລີ່ມ​ຕົ້ນ​ໃນ​ການ​ໂຈມ​ຕີ​ເພື່ອ​ເຂົ້າ​ເຖິງ​ເຄືອ​ຂ່າຍ​ຂອງ​ເປົ້າ​ໝາຍ.​

ເຊັ່ນ​ດຽວ​ກັບ​ສຳ​ນັກ​ງານ​ຄວາມໝັ້ນຄົງ​ແຫ່ງ​ຊາດ​ຂອງສະ​ຫະລັດອາເມລິກາ​ (NSA) ທີ່​ໄດ້ລາຍ​ງານ​ວ່າ​ໃນ​ ເດືອນ​ ພຶດສະພາ​ 2020 ໄດ້​ພົບ​ກຸ່ມແຮັກເກີທາງ​ທະຫານ​ຂອງ​ລັດ​ເຊຍ​ ໃນ​ຊື່​ Sandworm ໄດ້​ໃຊ້​ປະໂຫຍດ​ຈາກ​ຊ່ອງ​ໂຫວ່​ Exim CVE-2019-10149 (The Return of the WIZard) ໃນ​ການ​ໂຈມ​ຕີ​ເປົ້າ​ໝາຍ​ມາ​ຕັ້ງ​ແຕ່​ເດືອນ​ ສິງ​ຫາ 2019.

ຈາກ​ການ​ສຳ​ຫຼວດ​ພົບ​ວ່າ​ Exim ໄດ້ຮັບ​ການ​ຕິດ​ຕັ້ງ​ເທິງ​ລະບົບ​ຫຼາຍກວ່າ​ 56% ຈາກ​ທັງ​ໝົດ​ 602,000 ອີ​ເມວເ​ຊີ​ເວີ​ ​ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ເທິງ​ອິນ​ເຕີ​ເນັດ​ ຄິດ​ເປັນ​ເ​ຊີເວີ​ Exim ຫຼາຍກວ່າ​ 342,000 ເຄື່ອງ​ ລວມ​ເຖິງ​ຈາກ​ການ​ຄົ້ນ​ຫາຂອງ​ Shodan ພົບ​ວ່າ​ ປະຈຸບັນ​ມີ​ເ​ຊີເວີ​ Exim ຫຼາຍກວ່າ​ 3.5 ລ້ານ​ ເຄື່ອງ ​ທີ່​ເຂົ້າ​ເຖິງ​ໄດ້​ເທິງ​ອິນ​ເຕີ​ເນັດ​ ຊຶ່ງ​ສ່ວນ​ໃຫຍ່ຢູ່ໃນ​ສ​ະຫະລັດ​ອາ​ເມ​ລິກາ​ ຮອງ​ລົງ​ມາ​ຄື​ຣັດ​ເຊຍ ​ແລະ ​ເຢຍລະມັນ.



ປັດຈຸບັນ, ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ Exim mail server ຍັງ​ບໍ່​ມີ​ການ​ອອກ​ແພັດ​​ອັບ​ເດດ​ ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່ ແຕ່​ທາງ​ ZDI ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​​ຈຳ​ກັດ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ອິນ​ເຕີ​ເນັດ​ ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ຈາກ​ຊ່ອງ​ໂຫວ່​ໄວ້ກ່ອນ.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/
  2. https://www.i-secure.co.th/2023/10/%e0%b8%9e%e0%b8%9a-exim-mail-server-%e0%b8%ab%e0%b8%a5%e0%b8%b2%e0%b8%a2%e0%b8%a5%e0%b9%89%e0%b8%b2%e0%b8%99%e0%b9%80%e0%b8%84%e0%b8%a3%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b8%87-%e0%b8%96%e0%b8%b9%e0%b8%81/

ລາຍການຮູບ

Meesaisak 19 October 2023 1,368 Print