Ερευνητές ασφαλείας από την Cybereason διαχειριστές διακομιστή αλληλογραφίας σχετικά με τον εντοπισμό μιας μαζικής αυτοματοποιημένης εκμετάλλευσης επίθεσης (CVE-2019-10149) στο Exim, που ανακαλύφθηκε την περασμένη εβδομάδα. Κατά τη διάρκεια της επίθεσης, οι εισβολείς επιτυγχάνουν την εκτέλεση του κώδικά τους με δικαιώματα root και εγκαθιστούν κακόβουλο λογισμικό στον διακομιστή για εξόρυξη κρυπτονομισμάτων.
Σύμφωνα με τον Ιούνιο Το μερίδιο της Exim είναι 57.05% (πριν από ένα χρόνο 56.56%), το Postfix χρησιμοποιείται στο 34.52% (33.79%) των διακομιστών αλληλογραφίας, το Sendmail - 4.05% (4.59%), το Microsoft Exchange - 0.57% (0.85%). Με Η υπηρεσία Shodan παραμένει δυνητικά ευάλωτη σε περισσότερους από 3.6 εκατομμύρια διακομιστές αλληλογραφίας στο παγκόσμιο δίκτυο που δεν έχουν ενημερωθεί στην τελευταία τρέχουσα έκδοση του Exim 4.92. Περίπου 2 εκατομμύρια δυνητικά ευάλωτοι διακομιστές βρίσκονται στις Ηνωμένες Πολιτείες, 192 χιλιάδες στη Ρωσία. Με Η εταιρεία RiskIQ έχει ήδη μεταβεί στην έκδοση 4.92 του 70% των διακομιστών με Exim.
Συνιστάται στους διαχειριστές να εγκαταστήσουν επειγόντως ενημερώσεις που προετοιμάστηκαν από κιτ διανομής την περασμένη εβδομάδα (, , , , , ). Εάν το σύστημα έχει μια ευάλωτη έκδοση του Exim (από 4.87 έως 4.91 συμπεριλαμβανομένων), πρέπει να βεβαιωθείτε ότι το σύστημα δεν έχει ήδη παραβιαστεί ελέγχοντας το crontab για ύποπτες κλήσεις και βεβαιώνοντας ότι δεν υπάρχουν επιπλέον κλειδιά στο /root/. κατάλογος ssh. Μια επίθεση μπορεί επίσης να υποδηλωθεί από την παρουσία στο αρχείο καταγραφής δραστηριότητας του τείχους προστασίας από τους κεντρικούς υπολογιστές an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io και an7kmd2wp4xo7hpr.onion.sh, οι οποίοι χρησιμοποιούνται για τη λήψη κακόβουλου λογισμικού.
Πρώτες προσπάθειες επίθεσης σε διακομιστές Exim την 9η Ιουνίου. Έως την επίθεση της 13ης Ιουνίου χαρακτήρας. Μετά την εκμετάλλευση της ευπάθειας μέσω των πυλών tor2web, γίνεται λήψη ενός σεναρίου από την κρυφή υπηρεσία Tor (an7kmd2wp4xo7hpr) που ελέγχει για την παρουσία του OpenSSH (αν όχι ), αλλάζει τις ρυθμίσεις του ( root login και key authentication) και ορίζει τον χρήστη σε root , το οποίο παρέχει προνομιακή πρόσβαση στο σύστημα μέσω SSH.
Μετά τη ρύθμιση της κερκόπορτας, εγκαθίσταται στο σύστημα ένας σαρωτής θυρών για τον εντοπισμό άλλων ευάλωτων διακομιστών. Το σύστημα αναζητείται επίσης για υπάρχοντα συστήματα εξόρυξης, τα οποία διαγράφονται εάν εντοπιστούν. Στο τελευταίο στάδιο, γίνεται λήψη και εγγραφή του δικού σας miner στο crontab. Το miner κατεβάζεται με το πρόσχημα ενός αρχείου ico (στην πραγματικότητα είναι ένα αρχείο zip με τον κωδικό πρόσβασης "no-password"), το οποίο περιέχει ένα εκτελέσιμο αρχείο σε μορφή ELF για Linux με Glibc 2.7+.
Πηγή: opennet.ru