Istraživači sigurnosti iz Cybereason-a administratore mail servera o identifikaciji masivnog automatskog iskorištavanja napada (CVE-2019-10149) u Eximu, otkriven prošle sedmice. Tokom napada, napadači postižu izvršenje svog koda s root pravima i instaliraju zlonamjerni softver na server za rudarenje kriptovaluta.
Prema jun Udeo Exima je 57.05% (pre godinu dana 56.56%), Postfix se koristi na 34.52% (33.79%) mail servera, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). By Shodan servis ostaje potencijalno ranjiv na više od 3.6 miliona mail servera na globalnoj mreži koji nisu ažurirani na najnovije izdanje Exim 4.92. Oko 2 miliona potencijalno ranjivih servera nalazi se u Sjedinjenim Državama, 192 hiljade u Rusiji. By Kompanija RiskIQ je već prešla na verziju 4.92 od 70% servera sa Exim-om.
Administratorima se savjetuje da hitno instaliraju ažuriranja koja su pripremljena od strane distributivnih kompleta prošle sedmice (, , , , , ). Ako sistem ima ranjivu verziju Exim-a (od 4.87 do 4.91 uključujući), potrebno je da se uverite da sistem već nije kompromitovan tako što ćete proveriti crontab za sumnjive pozive i uveriti se da nema dodatnih ključeva u /root/. ssh direktorij. Na napad se može ukazivati i prisustvom aktivnosti u evidenciji aktivnosti zaštitnog zida sa hostova an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io i an7kmd2wp4xo7hpr.onion.sh, koji se koriste za preuzimanje zlonamjernog softvera.
Prvi pokušaji napada na Exim servere 9. juna. Do napada 13. juna karakter. Nakon iskorištavanja ranjivosti preko tor2web gatewaya, preuzima se skripta sa skrivene usluge Tor (an7kmd2wp4xo7hpr) koja provjerava prisustvo OpenSSH-a (ako nije ), mijenja svoje postavke ( root prijava i provjera autentičnosti ključa) i postavlja korisnika na root , koji omogućava privilegovani pristup sistemu preko SSH-a.
Nakon postavljanja backdoor-a, skener portova se instalira na sistem kako bi se identificirali drugi ranjivi serveri. Sistem se također pretražuje za postojeće rudarske sisteme, koji se brišu ako se identificiraju. U posljednjoj fazi, vaš vlastiti rudar se preuzima i registruje u crontab. Rudar se preuzima pod maskom ico datoteke (u stvari je zip arhiva sa lozinkom “no-password”), koja sadrži izvršnu datoteku u ELF formatu za Linux sa Glibc 2.7+.
izvor: opennet.ru