Bezpečnostní výzkumníci z Cybereason správcům poštovních serverů o identifikaci masivního zneužití automatizovaného útoku (CVE-2019-10149) v Eximu, objevený minulý týden. Během útoku útočníci dosáhnou spuštění svého kódu s právy root a nainstalují malware na server pro těžbu kryptoměn.
Podle června Podíl Eximu je 57.05 % (před rokem 56.56 %), Postfix se používá na 34.52 % (33.79 %) poštovních serverů, Sendmail - 4.05 % (4.59 %), Microsoft Exchange - 0.57 % (0.85 %). Podle Služba Shodan zůstává potenciálně zranitelná vůči více než 3.6 milionům poštovních serverů v globální síti, které nebyly aktualizovány na nejnovější aktuální verzi Exim 4.92. Asi 2 miliony potenciálně zranitelných serverů se nachází ve Spojených státech, 192 tisíc v Rusku. Podle Společnost RiskIQ již přešla na verzi 4.92 ze 70 % serverů s Eximem.
Správcům se doporučuje urychleně nainstalovat aktualizace, které byly minulý týden připraveny distribučními sadami (, , , , , ). Pokud má systém zranitelnou verzi Exim (od 4.87 do 4.91 včetně), musíte se ujistit, že systém již není kompromitován tím, že zkontrolujete crontab na podezřelá volání a ujistíte se, že v /root/ nejsou žádné další klíče. ssh adresář. Útok může být také indikován přítomností aktivity v protokolu firewallu z hostitelů an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io a an7kmd2wp4xo7hpr.onion.sh, které se používají ke stahování malwaru.
První pokusy o útok na servery Exim 9. června. Do útoku 13. června charakter. Po zneužití zranitelnosti prostřednictvím bran tor2web se ze skryté služby Tor (an7kmd2wp4xo7hpr) stáhne skript, který zkontroluje přítomnost OpenSSH (pokud ne ), změní svá nastavení ( přihlášení root a autentizace pomocí klíče) a nastaví uživatele jako root , který poskytuje privilegovaný přístup do systému přes SSH.
Po nastavení zadních vrátek je v systému nainstalován skener portů, který identifikuje další zranitelné servery. Systém je také prohledán po existujících těžebních systémech, které jsou odstraněny, pokud jsou identifikovány. V poslední fázi se stáhne váš vlastní těžař a zaregistruje se v crontab. Miner se stahuje pod maskou souboru ico (ve skutečnosti se jedná o zip archiv s heslem „no-password“), který obsahuje spustitelný soubor ve formátu ELF pro Linux s Glibc 2.7+.
Zdroj: opennet.ru