Cybereason Sekuriteit Navorsers administrateurs van posbedieners oor die opsporing van 'n massiewe outomatiese aanval wat uitbuit (CVE-2019-10149) in Exim, verlede week geïdentifiseer. Tydens die aanval bereik die aanvallers die uitvoering van hul kode as wortel en installeer wanware op die bediener om kripto-geldeenhede te ontgin.
Junie die aandeel van Exim is 57.05% ('n jaar gelede 56.56%), Postfix word gebruik op 34.52% (33.79%) van posbedieners, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Deur van die Shodan-diens bly meer as 3.6 miljoen posbedieners in die globale netwerk potensieel kwesbaar, wat nie opgedateer is na die jongste huidige weergawe van Exim 4.92 nie. Ongeveer 2 miljoen potensieel kwesbare bedieners is in die VSA geleë, 192 duisend in Rusland. Deur RiskIQ het reeds 4.92% van Exim-bedieners na weergawe 70 opgegradeer.
Administrateurs word aangeraai om dringend opdaterings te installeer wat verlede week deur verspreidings voorberei is (, , , , , ). As die stelsel 'n kwesbare weergawe van Exim het (vanaf 4.87 tot 4.91 ingesluit), moet jy seker maak dat die stelsel nie reeds gekompromitteer is nie deur crontab na te gaan vir verdagte oproepe en seker te maak dat daar geen bykomende sleutels in die /root/ is nie. ssh gids. 'n Aanval kan ook aangedui word deur die teenwoordigheid in die brandmuurlog van aktiwiteit van die gashere an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io en an7kmd2wp4xo7hpr.onion.sh, wat tydens die wanware-aflaaiproses gebruik word.
Eerste aanvalle op Exim-bedieners die 9de Junie. Teen 13 Junie aanval karakter. Nadat die kwesbaarheid deur tor2web-poorte uitgebuit is, word 'n skrip vanaf die Tor-versteekte diens (an7kmd2wp4xo7hpr) gelaai wat na die teenwoordigheid van OpenSSH kyk (indien nie ), verander sy instellings ( wortelaanmelding en sleutelverifikasie) en stel die wortelgebruiker in op A wat bevoorregte toegang tot die stelsel via SSH verleen.
Nadat 'n agterdeur opgestel is, word 'n poortskandeerder in die stelsel geïnstalleer om ander kwesbare bedieners te identifiseer. Dit deursoek ook die stelsel vir bestaande mynstelsels, wat uitgevee word as dit bespeur word. Op die laaste stadium word jou eie mynwerker gelaai en in crontab geregistreer. Die mynwerker word afgelaai onder die dekmantel van 'n ico-lêer (in werklikheid is dit 'n zip-argief met 'n "geen-wagwoord" wagwoord), wat 'n uitvoerbare lêer in ELF-formaat vir Linux met Glibc 2.7+ pak.
Bron: opennet.ru