Investigadors de seguretat de Cybereason administradors del servidor de correu sobre la identificació d'un atac automatitzat massiu explotant (CVE-2019-10149) a Exim, descobert la setmana passada. Durant l'atac, els atacants aconsegueixen l'execució del seu codi amb drets d'arrel i instal·len programari maliciós al servidor per a la mineria de criptomonedes.
Segons el juny La quota d'Exim és del 57.05% (fa un any 56.56%), Postfix s'utilitza en el 34.52% (33.79%) dels servidors de correu, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Per El servei Shodan continua sent potencialment vulnerable a més de 3.6 milions de servidors de correu de la xarxa global que no s'han actualitzat a la darrera versió actual d'Exim 4.92. Uns 2 milions de servidors potencialment vulnerables es troben als Estats Units, 192 mil a Rússia. Per L'empresa RiskIQ ja ha canviat a la versió 4.92 del 70% dels servidors amb Exim.
Es recomana als administradors que instal·lin amb urgència les actualitzacions que van ser preparades pels kits de distribució la setmana passada (, , , , , ). Si el sistema té una versió vulnerable d'Exim (de la 4.87 a la 4.91 inclusivament), us heu d'assegurar que el sistema no estigui compromès comprovant crontab per a trucades sospitoses i assegurant-vos que no hi ha cap clau addicional a /root/. directori ssh. Un atac també es pot indicar per la presència al registre del tallafoc d'activitat dels amfitrions an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io i an7kmd2wp4xo7hpr.onion.sh, que s'utilitzen per descarregar programari maliciós.
Primers intents d'atacar els servidors Exim el 9 de juny. L'atac del 13 de juny personatge. Després d'explotar la vulnerabilitat a través de passarel·les tor2web, es descarrega un script del servei ocult Tor (an7kmd2wp4xo7hpr) que verifica la presència d'OpenSSH (si no ), canvia la seva configuració ( inici de sessió root i autenticació de clau) i configura l'usuari com a root , que proporciona accés privilegiat al sistema mitjançant SSH.
Després de configurar la porta posterior, s'instal·la un escàner de ports al sistema per identificar altres servidors vulnerables. També es cerca al sistema els sistemes de mineria existents, que s'eliminen si s'identifiquen. En l'última etapa, el vostre propi miner es baixa i es registra a crontab. El miner es descarrega sota l'aparença d'un fitxer ico (de fet, és un arxiu zip amb la contrasenya "no-password"), que conté un fitxer executable en format ELF per a Linux amb Glibc 2.7+.
Font: opennet.ru