Изследователи по сигурността от Cybereason администраторите на пощенски сървър относно идентифицирането на използване на масова автоматизирана атака (CVE-2019-10149) в Exim, открит миналата седмица. По време на атаката нападателите постигат изпълнение на своя код с root права и инсталират зловреден софтуер на сървъра за копаене на криптовалути.
Според юни Делът на Exim е 57.05% (преди година 56.56%), Postfix се използва на 34.52% (33.79%) от пощенските сървъри, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). от Услугата Shodan остава потенциално уязвима за повече от 3.6 милиона пощенски сървъра в глобалната мрежа, които не са актуализирани до последната текуща версия на Exim 4.92. Около 2 милиона потенциално уязвими сървъра са разположени в Съединените щати, 192 хиляди в Русия. от Компанията RiskIQ вече премина към версия 4.92 на 70% от сървърите с Exim.
Администраторите се съветват спешно да инсталират актуализации, които бяха подготвени от комплекти за разпространение миналата седмица (, , , , , ). Ако системата има уязвима версия на Exim (от 4.87 до 4.91 включително), трябва да се уверите, че системата вече не е компрометирана, като проверите crontab за подозрителни извиквания и се уверите, че няма допълнителни ключове в /root/. ssh директория. Атака може да бъде индицирана и от наличието в регистъра на защитната стена на активност от хостовете an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, които се използват за изтегляне на зловреден софтуер.
Първи опити за атака на Exim сървъри 9-ти юни. До атака на 13 юни характер. След използване на уязвимостта чрез tor2web шлюзове се изтегля скрипт от скритата услуга Tor (an7kmd2wp4xo7hpr), който проверява за наличието на OpenSSH (ако не ), променя настройките си ( root влизане и удостоверяване на ключ) и настройва потребителя на root , който осигурява привилегирован достъп до системата чрез SSH.
След настройка на задната вратичка, в системата се инсталира порт скенер за идентифициране на други уязвими сървъри. Системата също се търси за съществуващи системи за копаене, които се изтриват, ако бъдат идентифицирани. На последния етап вашият собствен копач се изтегля и регистрира в crontab. Майнерът се изтегля под прикритието на ico файл (всъщност това е zip архив с парола „no-password“), който съдържа изпълним файл във формат ELF за Linux с Glibc 2.7+.
Източник: opennet.ru