Sikkerhedsforskere fra Cybereason mailserveradministratorer om at identificere et massivt automatiseret angreb, der udnytter (CVE-2019-10149) i Exim, opdaget i sidste uge. Under angrebet opnår angribere eksekvering af deres kode med root-rettigheder og installerer malware på serveren til minedrift af kryptovalutaer.
Ifølge juni Exims andel er 57.05% (for et år siden 56.56%), Postfix bruges på 34.52% (33.79%) af mailservere, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Ved Shodan-tjenesten er fortsat potentielt sårbar over for mere end 3.6 millioner mailservere på det globale netværk, som ikke er blevet opdateret til den seneste aktuelle udgivelse af Exim 4.92. Omkring 2 millioner potentielt sårbare servere er placeret i USA, 192 tusind i Rusland. Ved RiskIQ-virksomheden har allerede skiftet til version 4.92 af 70% af serverne med Exim.
Administratorer rådes til hurtigst muligt at installere opdateringer, der blev udarbejdet af distributionssæt i sidste uge (, , , , , ). Hvis systemet har en sårbar version af Exim (fra 4.87 til 4.91 inklusive), skal du sikre dig, at systemet ikke allerede er kompromitteret ved at tjekke crontab for mistænkelige opkald og sørge for, at der ikke er yderligere nøgler i /root/. ssh bibliotek. Et angreb kan også angives ved tilstedeværelsen i firewallloggen af aktivitet fra værterne an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io og an7kmd2wp4xo7hpr.onion.sh, som bruges til at downloade malware.
Første forsøg på at angribe Exim-servere den 9. juni. Ved angreb den 13. juni Karakter. Efter at have udnyttet sårbarheden gennem tor2web-gateways, downloades et script fra Tor hidden-tjenesten (an7kmd2wp4xo7hpr), der kontrollerer tilstedeværelsen af OpenSSH (hvis ikke ), ændrer dens indstillinger ( root-login og nøglegodkendelse) og indstiller brugeren til root , som giver privilegeret adgang til systemet via SSH.
Efter opsætning af bagdøren installeres en portscanner på systemet for at identificere andre sårbare servere. Systemet søges også efter eksisterende minesystemer, som slettes, hvis de identificeres. På sidste trin downloades din egen minearbejder og registreres i crontab. Mineren downloades under dække af en ico-fil (faktisk er det et zip-arkiv med adgangskoden "no-password"), som indeholder en eksekverbar fil i ELF-format til Linux med Glibc 2.7+.
Kilde: opennet.ru