كشف خبراء الأمن عن ثغرة Dead.Letter الخطيرة في خوادم Exim للبريد الإلكتروني، والتي تسمح للمهاجمين بتنفيذ برمجيات خبيثة عن بُعد عبر استغلال مكتبة GnuTLS بشكل غير متوقع.
أصدر مطورو برنامج Exim، وهو أحد أشهر وكلاء نقل البريد (MTA) مفتوحة المصدر لأنظمة يونكس، تحديثات أمنية عاجلة لمعالجة خلل أمني جسيم. وتكمن خطورة هذه الثغرة في قدرتها على التسبب في فساد الذاكرة، مما يفتح الباب أمام تنفيذ أكواد برمجية غير مصرح بها على الخوادم المصابة، وهو ما قد يؤدي إلى اختراق كامل للبيانات الحساسة.
ما هي ثغرة Dead.Letter وكيف تؤثر على خوادم Exim؟
وفقاً لتقرير تيكبامين، يتم تتبع هذه الثغرة تحت المعرف CVE-2026-45185، وقد أطلق عليها الباحثون اسم Dead.Letter. تُصنف الثغرة على أنها من نوع "استخدام الذاكرة بعد تحريرها" (Use-After-Free)، وتظهر تحديداً أثناء معالجة رسائل نقل البيانات الثنائية (BDAT) عندما يتم تكوين الخادم لاستخدام مكتبة GnuTLS لتشفير الاتصالات.
تحدث المشكلة عندما يقوم العميل بإرسال تنبيه بإغلاق اتصال TLS قبل اكتمال نقل جسم الرسالة، ثم يتبعه بإرسال بايت نهائي بنص واضح على نفس اتصال TCP. هذا التسلسل يؤدي إلى كتابة الخادم في منطقة من الذاكرة تم تحريرها بالفعل، مما يتسبب في تلف "الهيب" (Heap Corruption) وتوفير ثغرة للمخترقين.
المواصفات الفنية للخوادم المعرضة للخطر
- الإصدارات المتأثرة: جميع إصدارات Exim من 4.97 وحتى 4.99.2.
- المكتبة المتأثرة: الخوادم التي تستخدم خيار USE_GNUTLS=yes فقط.
- الخوادم الآمنة: النسخ التي تعتمد على مكتبة OpenSSL ليست متأثرة بهذا الخلل.
كيف يتم استغلال هذه الثغرة أمنياً؟
أوضح فيديريكو كيرشبوم، رئيس مختبر الأمن في منصة XBOW، أن المهاجم يحتاج فقط إلى القدرة على إنشاء اتصال TLS واستخدام ميزة CHUNKING (BDAT) في بروتوكول SMTP. أثناء عملية إغلاق اتصال التشفير، يقوم برنامج Exim بتحرير مخزن نقل البيانات، لكن عملية معالجة BDAT المتداخلة تظل قادرة على استقبال بيانات إضافية.
عندما يستدعي البرنامج وظيفة ungetc() لكتابة حرف واحد في منطقة الذاكرة التي تم تحريرها، يتم إتلاف البيانات الوصفية الخاصة بالمخصص (Allocator)، وهو ما يمنح المهاجم القدرة على بناء هجمات أكثر تعقيداً للسيطرة على الخادم. وقد وصفت XBOW هذه الثغرة بأنها واحدة من "أعلى الثغرات عياراً" التي تم اكتشافها في Exim حتى الآن، خاصة وأنها لا تتطلب إعدادات خاصة على الخادم لتفعيلها.
تاريخ الثغرات الأمنية في خوادم البريد
يشير تيكبامين إلى أن هذه ليست المرة الأولى التي يواجه فيها Exim مشكلات أمنية حرجة من نوع Use-After-Free. ففي عام 2017، تم ترقيع ثغرة مشابهة (CVE-2017-16943) حصلت على درجة خطورة 9.8، حيث كان بإمكان المهاجمين السيطرة الكاملة على خوادم البريد عبر أوامر BDAT مصممة خصيصاً.
كيف تحمي خادمك من ثغرة Dead.Letter؟
لا توجد حلول مؤقتة أو تخفيفات فعالة لهذه الثغرة سوى الترقية الفورية. يضمن الإصلاح البرمجي الجديد إعادة ضبط مكدس معالجة المدخلات بشكل نظيف عند استلام إشعار إغلاق TLS، مما يمنع استخدام المؤشرات القديمة في الذاكرة.
خطوات الحماية الموصى بها:
- تحديث فوري: يجب على جميع مديري الأنظمة الترقية إلى إصدار 4.99.3 فوراً.
- التحقق من المكتبات: التأكد من نوع مكتبة التشفير المستخدمة (GnuTLS مقابل OpenSSL).
- مراقبة السجلات: فحص سجلات SMTP بحثاً عن أي محاولات مشبوهة لاستخدام أوامر BDAT بشكل غير منتظم.
في الختام، تظل حماية خوادم البريد الإلكتروني أولوية قصوى نظراً لكونها هدفاً دائماً للهجمات المنظمة، ويبقى التحديث المستمر هو الخط الدفاعي الأول ضد مثل هذه التهديدات المعقدة.
