Mga tigdukiduki sa Cybereason Security mga tigdumala sa mga mail server bahin sa pagkakita sa usa ka dako nga awtomatikong pag-atake nga nagpahimulos (CVE-2019-10149) sa Exim, giila sa miaging semana. Atol sa pag-atake, ang mga tig-atake nakab-ot ang pagpatuman sa ilang code isip gamut ug nag-instalar sa malware sa server alang sa pagmina sa mga cryptocurrencies.
Hunyo ang bahin sa Exim mao ang 57.05% (usa ka tuig ang milabay 56.56%), ang Postfix gigamit sa 34.52% (33.79%) sa mga mail server, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Pinaagi sa sa serbisyo sa Shodan, labaw pa sa 3.6 ka milyon nga mail server sa tibuok kalibutan nga network nagpabilin nga posibleng huyang, nga wala gi-update sa pinakabag-o nga kasamtangan nga pagpagawas sa Exim 4.92. Mga 2 ka milyon nga posibleng mahuyang nga mga server ang nahimutang sa US, 192 ka libo sa Russia. Pinaagi sa Gi-upgrade na sa RiskIQ ang 4.92% sa mga server sa Exim ngadto sa bersyon 70.
Gitambagan ang mga administrador nga i-install dayon ang mga update nga giandam sa mga pag-apod-apod sa miaging semana (, , , , , ). Kung ang sistema adunay huyang nga bersyon sa Exim (gikan sa 4.87 hangtod 4.91 nga apil), kinahanglan nimo nga sigurohon nga ang sistema wala pa makompromiso pinaagi sa pagsusi sa crontab alang sa mga kadudahang tawag ug siguroha nga wala’y dugang nga mga yawe sa /root/. ssh nga direktoryo. Ang pag-atake mahimo usab nga ipakita pinaagi sa presensya sa firewall log sa kalihokan gikan sa mga host an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ug an7kmd2wp4xo7hpr.onion.sh, nga gigamit sa proseso sa pag-download sa malware.
Unang pag-atake sa mga server sa Exim ika-9 sa Hunyo. Pag-atake sa Hunyo 13 kinaiya. Human mapahimuslan ang kahuyang pinaagi sa tor2web gateways, usa ka script ang gikarga gikan sa Tor hidden service (an7kmd2wp4xo7hpr) nga nagsusi sa presensya sa OpenSSH (kon dili ), giusab ang mga setting niini ( root login ug key authentication) ug gitakda ang root user sa A nga naghatag ug pribilihiyo nga pag-access sa sistema pinaagi sa SSH.
Pagkahuman sa pag-set up sa usa ka backdoor, usa ka port scanner ang gi-install sa sistema aron mahibal-an ang ubang mga huyang nga server. Gipangita usab niini ang sistema alang sa naglungtad nga mga sistema sa pagmina, nga mapapas kung makit-an. Sa katapusan nga yugto, ang imong kaugalingon nga minero gikarga ug narehistro sa crontab. Ang minero gi-download ubos sa takup sa usa ka ico file (sa pagkatinuod, kini usa ka zip archive nga adunay "no-password" nga password), nga nagputos sa usa ka executable file sa ELF format para sa Linux nga adunay Glibc 2.7+.
Source: opennet.ru