Cybereason-dan təhlükəsizlik tədqiqatçıları poçt serveri administratorları kütləvi avtomatlaşdırılmış hücumun istismarının müəyyən edilməsi haqqında (CVE-2019-10149) Exim-də keçən həftə kəşf edildi. Hücum zamanı təcavüzkarlar öz kodlarının kök hüquqları ilə icrasına nail olur və kriptovalyutaların çıxarılması üçün serverdə zərərli proqram quraşdırırlar.
İyun ayına görə Exim-in payı 57.05% (bir il əvvəl 56.56%), Postfix poçt serverlərinin 34.52% (33.79%), Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%) istifadə olunur. By Shodan xidməti qlobal şəbəkədə Exim 3.6-nin ən son cari buraxılışına yenilənməmiş 4.92 milyondan çox poçt serverinə potensial olaraq həssas olaraq qalır. Təxminən 2 milyon potensial həssas server ABŞ-da, 192 mini Rusiyada yerləşir. By RiskIQ şirkəti artıq Exim ilə serverlərin 4.92%-nin 70 versiyasına keçib.
Administratorlara keçən həftə paylama dəstləri tərəfindən hazırlanmış yeniləmələri təcili quraşdırmaq tövsiyə olunur (, , , , , ). Sisteminizdə Exim-in həssas versiyası varsa (4.87-dən 4.91-ə qədər), şübhəli zənglər üçün crontab-ı yoxlayaraq və /root/-da əlavə açarların olmadığına əmin olmaqla sistemin artıq təhlükəyə məruz qalmadığından əmin olmalısınız. ssh kataloqu. Hücum həmçinin zərərli proqramları yükləmək üçün istifadə edilən an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io və an7kmd2wp4xo7hpr.onion.sh hostlarının fəaliyyət jurnalında mövcudluğu ilə də göstərilə bilər.
Exim serverlərinə ilk hücum cəhdləri 9 iyun. İyunun 13-də hücum xarakter. Zəiflikdən tor2web şlüzləri vasitəsilə istifadə etdikdən sonra Tor gizli xidmətindən (an7kmd2wp4xo7hpr) OpenSSH-nin (əgər deyilsə) mövcudluğunu yoxlayan skript endirilir. ), parametrlərini dəyişir ( kök girişi və açarın autentifikasiyası) və istifadəçini kökə təyin edir , SSH vasitəsilə sistemə imtiyazlı girişi təmin edir.
Arxa qapını quraşdırdıqdan sonra digər həssas serverləri müəyyən etmək üçün sistemdə port skaneri quraşdırılır. Sistem həmçinin mövcud mədən sistemləri üçün axtarış aparır, müəyyən edildikdə silinir. Son mərhələdə öz mineriniz yüklənir və crontab-da qeydiyyatdan keçirilir. Mədənçi, Glibc 2.7+ ilə Linux üçün ELF formatında icra edilə bilən faylı ehtiva edən ico faylı adı altında yüklənir (əslində bu, parol "no-parol" olan zip arxividir).
Mənbə: opennet.ru