Масова атака срещу уязвими базирани на Exim пощенски сървъри

Изследователи по сигурността от Cybereason предупреден администраторите на пощенски сървър относно идентифицирането на използване на масова автоматизирана атака критична уязвимост (CVE-2019-10149) в Exim, открит миналата седмица. По време на атаката нападателите постигат изпълнение на своя код с root права и инсталират зловреден софтуер на сървъра за копаене на криптовалути.

Според юни автоматизирано проучване Делът на Exim е 57.05% (преди година 56.56%), Postfix се използва на 34.52% (33.79%) от пощенските сървъри, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). от данни Услугата Shodan остава потенциално уязвима за повече от 3.6 милиона пощенски сървъра в глобалната мрежа, които не са актуализирани до последната текуща версия на Exim 4.92. Около 2 милиона потенциално уязвими сървъра са разположени в Съединените щати, 192 хиляди в Русия. от информация Компанията RiskIQ вече премина към версия 4.92 на 70% от сървърите с Exim.

Администраторите се съветват спешно да инсталират актуализации, които бяха подготвени от комплекти за разпространение миналата седмица (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL за RHEL/CentOS). Ако системата има уязвима версия на Exim (от 4.87 до 4.91 включително), трябва да се уверите, че системата вече не е компрометирана, като проверите crontab за подозрителни извиквания и се уверите, че няма допълнителни ключове в /root/. ssh директория. Атака може да бъде индицирана и от наличието в регистъра на защитната стена на активност от хостовете an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, които се използват за изтегляне на зловреден софтуер.

Първи опити за атака на Exim сървъри фиксирани 9-ти юни. До атака на 13 юни взе маса характер. След използване на уязвимостта чрез tor2web шлюзове се изтегля скрипт от скритата услуга Tor (an7kmd2wp4xo7hpr), който проверява за наличието на OpenSSH (ако не комплекти), променя настройките си (позволява root влизане и удостоверяване на ключ) и настройва потребителя на root RSA ключ, който осигурява привилегирован достъп до системата чрез SSH.

След настройка на задната вратичка, в системата се инсталира порт скенер за идентифициране на други уязвими сървъри. Системата също се търси за съществуващи системи за копаене, които се изтриват, ако бъдат идентифицирани. На последния етап вашият собствен копач се изтегля и регистрира в crontab. Майнерът се изтегля под прикритието на ico файл (всъщност това е zip архив с парола „no-password“), който съдържа изпълним файл във формат ELF за Linux с Glibc 2.7+.

Източник: opennet.ru