باحثون أمنيون من Cybereason مسؤولي خادم البريد حول تحديد استغلال الهجوم الآلي الضخم (CVE-2019-10149) في Exim، الذي تم اكتشافه الأسبوع الماضي. أثناء الهجوم، يحقق المهاجمون تنفيذ التعليمات البرمجية الخاصة بهم باستخدام حقوق الجذر ويقومون بتثبيت البرامج الضارة على الخادم لاستخراج العملات المشفرة.
بحسب يونيو تبلغ حصة Exim 57.05% (قبل عام 56.56%)، ويتم استخدام Postfix على 34.52% (33.79%) من خوادم البريد، وSendmail - 4.05% (4.59%)، وMicrosoft Exchange - 0.57% (0.85%). بواسطة من المحتمل أن تظل خدمة Shodan عرضة لأكثر من 3.6 مليون خادم بريد على الشبكة العالمية والتي لم يتم تحديثها إلى الإصدار الحالي الأحدث من Exim 4.92. يوجد حوالي 2 مليون خادم معرض للخطر في الولايات المتحدة، و192 ألفًا في روسيا. بواسطة لقد تحولت شركة RiskIQ بالفعل إلى الإصدار 4.92 من 70% من خوادم Exim.
يُنصح المسؤولون بتثبيت التحديثات التي تم إعدادها بواسطة مجموعات التوزيع الأسبوع الماضي بشكل عاجل (, , , , , ). إذا كان النظام يحتوي على إصدار ضعيف من Exim (من 4.87 إلى 4.91)، فأنت بحاجة إلى التأكد من عدم تعرض النظام للاختراق بالفعل عن طريق التحقق من crontab بحثًا عن المكالمات المشبوهة والتأكد من عدم وجود مفاتيح إضافية في ملف /root/. دليل سش. يمكن أيضًا الإشارة إلى الهجوم من خلال وجود نشاط في سجل جدار الحماية من المضيفين an7kmd2wp4xo7hpr.tor2web.su وan7kmd2wp4xo7hpr.tor2web.io وan7kmd2wp4xo7hpr.onion.sh، والتي تُستخدم لتنزيل البرامج الضارة.
المحاولات الأولى لمهاجمة خوادم Exim 9 يونيو. بحلول هجوم 13 يونيو شخصية. بعد استغلال الثغرة الأمنية من خلال بوابات tor2web، يتم تنزيل برنامج نصي من خدمة Tor المخفية (an7kmd2wp4xo7hpr) الذي يتحقق من وجود OpenSSH (إذا لم يكن كذلك )، يغير إعداداته ( تسجيل الدخول إلى الجذر ومصادقة المفتاح) ويضبط المستخدم على الجذر ، والذي يوفر وصولاً متميزًا إلى النظام عبر SSH.
بعد إعداد الباب الخلفي، يتم تثبيت ماسح ضوئي للمنافذ على النظام لتحديد الخوادم الضعيفة الأخرى. يقوم النظام أيضًا بالبحث عن أنظمة التعدين الموجودة، والتي يتم حذفها إذا تم تحديدها. في المرحلة الأخيرة، يتم تنزيل عامل التعدين الخاص بك وتسجيله في crontab. يتم تنزيل المُعدِّن تحت ستار ملف ico (في الواقع هو أرشيف مضغوط بكلمة المرور "no-password")، والذي يحتوي على ملف قابل للتنفيذ بتنسيق ELF لنظام التشغيل Linux مع Glibc 2.7+.
المصدر: opennet.ru