Sicherheitsforscher von Cybereason Mailserver-Administratoren über die Identifizierung einer massiven automatisierten Angriffsausnutzung (CVE-2019-10149) in Exim, letzte Woche entdeckt. Bei dem Angriff erreichen Angreifer die Ausführung ihres Codes mit Root-Rechten und installieren Schadsoftware auf dem Server zum Mining von Kryptowährungen.
Laut Juni Der Anteil von Exim beträgt 57.05 % (vor einem Jahr 56.56 %), Postfix wird auf 34.52 % (33.79 %) der Mailserver verwendet, Sendmail – 4.05 % (4.59 %), Microsoft Exchange – 0.57 % (0.85 %). Von Der Shodan-Dienst bleibt potenziell anfällig für mehr als 3.6 Millionen Mailserver im globalen Netzwerk, die nicht auf die neueste Version von Exim 4.92 aktualisiert wurden. Ungefähr 2 Millionen potenziell anfällige Server befinden sich in den Vereinigten Staaten, 192 in Russland. Von Das Unternehmen RiskIQ hat bereits 4.92 % der Server mit Exim auf Version 70 umgestellt.
Administratoren wird empfohlen, dringend Updates zu installieren, die letzte Woche von Distributionskits vorbereitet wurden (, , , , , ). Wenn das System über eine anfällige Version von Exim verfügt (von 4.87 bis einschließlich 4.91), müssen Sie sicherstellen, dass das System nicht bereits gefährdet ist, indem Sie crontab auf verdächtige Aufrufe überprüfen und sicherstellen, dass sich keine zusätzlichen Schlüssel in /root/ befinden. ssh-Verzeichnis. Ein Angriff kann auch durch das Vorhandensein von Aktivitäten der Hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io und an7kmd2wp4xo7hpr.onion.sh im Firewall-Protokoll angezeigt werden, die zum Herunterladen von Malware verwendet werden.
Erste Angriffsversuche auf Exim-Server der 9. Juni. Bis zum 13. Juni Angriff Charakter. Nachdem die Schwachstelle über Tor2Web-Gateways ausgenutzt wurde, wird ein Skript vom versteckten Tor-Dienst (an7kmd2wp4xo7hpr) heruntergeladen, das prüft, ob OpenSSH vorhanden ist (falls nicht). ), ändert seine Einstellungen ( Root-Anmeldung und Schlüsselauthentifizierung) und setzt den Benutzer auf Root , das über SSH privilegierten Zugriff auf das System ermöglicht.
Nach der Einrichtung der Hintertür wird ein Portscanner auf dem System installiert, um andere anfällige Server zu identifizieren. Das System wird auch nach vorhandenen Mining-Systemen durchsucht, die bei Identifizierung gelöscht werden. Im letzten Schritt wird Ihr eigener Miner heruntergeladen und in crontab registriert. Der Miner wird unter dem Deckmantel einer ICO-Datei heruntergeladen (tatsächlich handelt es sich um ein Zip-Archiv mit dem Passwort „no-password“), die eine ausführbare Datei im ELF-Format für Linux mit Glibc 2.7+ enthält.
Source: opennet.ru