Масавая атака на ўразлівыя паштовыя серверы на аснове Exim
Даследчыкі бяспекі з кампаніі Cybereason папярэдзілі адміністратараў паштовых сервераў аб выяўленні масавай аўтаматызаванай атакі, якая эксплуатуе крытычную ўразлівасць (CVE-2019-10149) у Exim, выяўленую на мінулым тыдні. Падчас нападаў зламыснікі дамагаюцца выкананні свайго кода з правамі root і ўсталёўваюць на сервер шкоднаснае ПА для майнінгу криптовалют.
У адпаведнасці з чэрвеньскім аўтаматызаваным апытаннем доля Exim складае 57.05% (год таму 56.56%), Postfix выкарыстоўваецца на 34.52% (33.79%) паштовых сервераў, Sendmail – 4.05% (4.59%), Microsoft Exchange – 0.57% (0.85%). Па дадзеных сэрвісу Shodan патэнцыйна ўразлівымі застаюцца больш за 3.6 млн паштовых сервераў у глабальнай сетцы, якія не абноўлены да апошняга актуальнага выпуску Exim 4.92. Каля 2 млн патэнцыйна ўразлівых сервераў размешчаны ў ЗША, 192 тысячы ў Расіі. Па інфармацыі кампаніі RiskIQ на версію 4.92 ужо перайшло 70% сервераў з Exim.
Адміністратарам рэкамендуецца тэрмінова ўсталяваць абнаўленні, якія яшчэ на мінулым тыдні былі падрыхтаваны дыстрыбутывамі (Debian, Ubuntu, openSUSE, Arch Linux, Мяккая фетравы капялюш, EPEL для RHEL/CentOS). У выпадку наяўнасці ў сістэме зрынутай уразлівасці версіі Exim (з 4.87 па 4.91 улучна) неабходна пераканацца, што сістэма ўжо не скампраметаваная, праверыўшы crontab на прадмет падазроных выклікаў і пераканацца ў ажыццяўленні дадатковых ключоў у каталогу /root/.ssh. Аб атацы таксама можа сведчыць наяўнасць у логу міжсеткавага экрана актыўнасці з хастоў an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io і an7kmd2wp4xo7hpr.onion.sh, якія выкарыстоўваюцца для падчас загрузкі шкоднаснага .
Першыя спробы нападу на серверы Exim зафіксаваны 9 чэрвеня. Да 13 чэрвеня атака прыняламасавы характар. Пасля эксплуатацыі ўразлівасці праз шлюзы tor2web са ўтоенага сэрвісу Tor (an7kmd2wp4xo7hpr) загружаецца скрыпт, які правярае наяўнасць OpenSSH (калі няма устанаўлівае), мяняе яго налады (дазваляе уваход з root і аўтэнтыфікацыю па ключах) і ўсталёўвае для карыстача root RSA-ключ, які прадстаўляе прывілеяваны доступ у сістэму праз SSH.
Пасля налады бэкдора ў сістэму ўсталёўваецца сканер портаў для выяўлення іншых уразлівых сервераў. Таксама ажыццяўляецца пошук у сістэме ўжо існуючых сістэм майнінгу, якія выдаляюцца ў выпадку выяўлення. На апошнім этапе загружаецца і прапісваецца ў crontab уласны майнер. Майнер загружаецца пад выглядам ico-файла (на справе з'яўляецца zip-архівам з паролем "no-password"), у якім спакаваны выкананы файл у фармаце ELF для Linux з Glibc 2.7+.