Circatori di sicurezza da Cybereason amministratori di u servitore di mail per identificà un sfruttamentu di attaccu automatizatu massivu (CVE-2019-10149) in Exim, scupertu a semana passata. Duranti l'attaccu, l'attaccanti ottennu l'esekzione di u so codice cù diritti di root è installanu malware nantu à u servitore per a minera di cripthe di munita.
Sicondu u ghjugnu A parte di Exim hè 57.05% (un annu fà 56.56%), Postfix hè utilizatu nantu à 34.52% (33.79%) di i servitori di mail, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). By U serviziu Shodan resta potenzialmente vulnerabile à più di 3.6 milioni di servitori di mail in a reta globale chì ùn sò micca stati aghjurnati à l'ultima versione attuale di Exim 4.92. Circa 2 milioni di servitori potenzialmente vulnerabili sò situati in i Stati Uniti, 192 mila in Russia. By A cumpagnia RiskIQ hà digià cambiatu à a versione 4.92 di u 70% di i servitori cù Exim.
L'amministratori sò cunsigliati di installà urgente l'aghjurnamenti chì sò stati preparati da i kit di distribuzione a settimana passata (, , , , , ). Se u sistema hà una versione vulnerabile di Exim (da 4.87 à 4.91 inclusive), avete bisognu di assicurà chì u sistema ùn hè micca digià cumprumissu cuntrollà crontab per e chjama sospette è assicuratevi chì ùn ci sò micca chjave supplementari in u /root/. cartulare ssh. Un attaccu pò ancu esse indicatu da a presenza in u firewall log di l'attività da l'ospiti an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io è an7kmd2wp4xo7hpr.onion.sh, chì sò usati per scaricà malware.
I primi tentativi di attaccà i servitori Exim u 9 di ghjugnu. Da u 13 di ghjugnu attaccu caratteru. Dopu avè sfruttatu a vulnerabilità attraversu tor2web gateways, un script hè scaricatu da u serviziu di Tor hidden (an7kmd2wp4xo7hpr) chì verifica a presenza di OpenSSH (se micca. ), cambia i so paràmetri ( login root è autentificazione chjave) è stabilisce l'utilizatori à root , chì furnisce un accessu privilegiatu à u sistema via SSH.
Dopu avè stallatu u backdoor, un scanner di portu hè stallatu in u sistema per identificà altri servitori vulnerabili. U sistema hè ancu cercatu per i sistemi minieri esistenti, chì sò sguassati si identificanu. À l'ultima tappa, u vostru propiu minatore hè scaricatu è registratu in crontab. U minatore hè telecaricatu sottu u guise di un schedariu ico (in fattu hè un archiviu zip cù a password "no-password"), chì cuntene un schedariu eseguibile in formatu ELF per Linux cù Glibc 2.7+.
Source: opennet.ru