Ymchwilwyr Diogelwch Cybereason gweinyddwyr gweinyddwyr post ynghylch canfod ymosodiad awtomataidd enfawr sy'n manteisio (CVE-2019-10149) yn Exim, a nodwyd yr wythnos diwethaf. Yn ystod yr ymosodiad, mae'r ymosodwyr yn cyflawni gweithrediad eu cod fel gwraidd a gosod malware ar y gweinydd ar gyfer mwyngloddio cryptocurrencies.
Yn ôl Mehefin cyfran Exim yw 57.05% (blwyddyn yn ôl 56.56%), defnyddir Postfix ar 34.52% (33.79%) o weinyddion post, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Gan o wasanaeth Shodan, mae mwy na 3.6 miliwn o weinyddion post yn y rhwydwaith byd-eang yn parhau i fod yn agored i niwed, nad ydynt yn cael eu diweddaru i'r datganiad cyfredol diweddaraf o Exim 4.92. Mae tua 2 filiwn o weinyddion a allai fod yn agored i niwed wedi'u lleoli yn yr UD, 192 mil yn Rwsia. Gan Mae RiskIQ eisoes wedi uwchraddio 4.92% o weinyddion Exim i fersiwn 70.
Cynghorir gweinyddwyr i osod diweddariadau a baratowyd gan ddosbarthiadau yr wythnos diwethaf ar frys (, , , , , ). Os oes gan y system fersiwn bregus o Exim (o 4.87 i 4.91 yn gynwysedig), mae angen i chi sicrhau nad yw'r system eisoes wedi'i pheryglu trwy wirio crontab am alwadau amheus a sicrhau nad oes unrhyw allweddi ychwanegol yn y /root/. cyfeiriadur ssh. Gellir nodi ymosodiad hefyd gan bresenoldeb yn y log wal dân o weithgarwch gan y gwesteiwyr an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ac an7kmd2wp4xo7hpr.onion.sh, a ddefnyddir yn ystod y broses lawrlwytho malware.
Ymosodiadau cyntaf ar weinyddion Exim y 9fed o Fehefin. Erbyn Mehefin 13 ymosodiad cymeriad. Ar ôl manteisio ar y bregusrwydd trwy byrth tor2web, mae sgript yn cael ei llwytho o wasanaeth cudd Tor (an7kmd2wp4xo7hpr) sy'n gwirio presenoldeb OpenSSH (os na ), yn newid ei osodiadau ( mewngofnodi gwraidd a dilysu allwedd) ac yn gosod y defnyddiwr gwraidd i A sy'n caniatáu mynediad breintiedig i'r system trwy SSH.
Ar ôl sefydlu drws cefn, gosodir sganiwr porthladd yn y system i adnabod gweinyddwyr bregus eraill. Mae hefyd yn chwilio'r system am systemau mwyngloddio presennol, sy'n cael eu dileu os cânt eu canfod. Yn y cam olaf, mae eich glöwr eich hun yn cael ei lwytho a'i gofrestru yn crontab. Mae'r glöwr yn cael ei lawrlwytho o dan gochl ffeil ico (mewn gwirionedd, mae'n archif sip gyda chyfrinair “dim-cyfrinair”), sy'n pacio ffeil gweithredadwy mewn fformat ELF ar gyfer Linux gyda Glibc 2.7+.
Ffynhonnell: opennet.ru