Cyberreason Security Researchers administrantoj de poŝtserviloj pri la detekto de amasa aŭtomatigita atako kiu ekspluatas (CVE-2019-10149) en Exim, identigita pasintsemajne. Dum la atako, la atakantoj atingas la ekzekuton de sia kodo kiel radiko kaj instalas malware sur la servilo por minado de kriptaj moneroj.
junio la parto de Exim estas 57.05% (antaŭ jaro 56.56%), Postfix estas uzata sur 34.52% (33.79%) de poŝtserviloj, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). De de la Shodan-servo, pli ol 3.6 milionoj da poŝtserviloj en la tutmonda reto restas eble vundeblaj, kiuj ne estas ĝisdatigitaj al la plej nova nuna eldono de Exim 4.92. Ĉirkaŭ 2 milionoj eble vundeblaj serviloj situas en Usono, 192 mil en Rusio. De RiskIQ jam ĝisdatigis 4.92% de Exim-serviloj al versio 70.
Administrantoj konsilas urĝe instali ĝisdatigojn, kiuj estis preparitaj de distribuoj pasintsemajne (, , , , , ). Se la sistemo havas vundeblan version de Exim (de 4.87 ĝis 4.91 inkluzive), vi devas certigi, ke la sistemo ne jam estas endanĝerigita kontrolante crontab por suspektindaj vokoj kaj certigi ke ne estas pliaj ŝlosiloj en la /root/. ssh dosierujo. Atako ankaŭ povas esti indikita per la ĉeesto en la fajroŝirmilo de agado de la gastigantoj an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io kaj an7kmd2wp4xo7hpr.onion.sh, kiuj estas uzataj dum la elŝuta procezo de malware.
Unuaj atakoj al Exim-serviloj la 9-an de junio. Antaŭ la 13-an de junio atako karaktero. Post ekspluati la vundeblecon per tor2web-enirejoj, skripto estas ŝarĝita de la Tor kaŝita servo (an7kmd2wp4xo7hpr) kiu kontrolas la ĉeeston de OpenSSH (se ne ), ŝanĝas ĝiajn agordojn ( radika ensaluto kaj ŝlosila aŭtentigo) kaj fiksas la radikan uzanton al A kiu donas privilegian aliron al la sistemo per SSH.
Post starigo de malantaŭa pordo, havena skanilo estas instalita en la sistemo por identigi aliajn vundeblajn servilojn. Ĝi ankaŭ serĉas la sistemon por ekzistantaj minindustriaj sistemoj, kiuj estas forigitaj se detektitaj. En la lasta etapo, via propra ministo estas ŝarĝita kaj registrita en crontab. La ministo estas elŝutita sub la aspekto de ico-dosiero (fakte, ĝi estas zip-arkivo kun "senpasvorto" pasvorto), kiu pakas ruligeblan dosieron en ELF-formato por Linukso kun Glibc 2.7+.
fonto: opennet.ru