Investigadores de seguridad de Cybereason administradores de servidores de correo sobre cómo identificar un ataque automatizado masivo que aproveche (CVE-2019-10149) en Exim, descubierto la semana pasada. Durante el ataque, los atacantes ejecutan su código con derechos de root e instalan malware en el servidor para extraer criptomonedas.
Según junio La participación de Exim es del 57.05% (hace un año 56.56%), Postfix se utiliza en el 34.52% (33.79%) de los servidores de correo, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Por El servicio Shodan sigue siendo potencialmente vulnerable a más de 3.6 millones de servidores de correo en la red global que no se han actualizado a la última versión actual de Exim 4.92. Alrededor de 2 millones de servidores potencialmente vulnerables se encuentran en Estados Unidos y 192 mil en Rusia. Por La empresa RiskIQ ya ha cambiado a la versión 4.92 el 70% de los servidores con Exim.
Se recomienda a los administradores que instalen urgentemente las actualizaciones preparadas por los kits de distribución la semana pasada (, , , , , ). Si el sistema tiene una versión vulnerable de Exim (de 4.87 a 4.91 inclusive), debe asegurarse de que el sistema no esté comprometido verificando el crontab en busca de llamadas sospechosas y asegurándose de que no haya claves adicionales en /root/. directorio ssh. Un ataque también puede indicarse por la presencia en el registro del firewall de actividad de los hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io y an7kmd2wp4xo7hpr.onion.sh, que se utilizan para descargar malware.
Primeros intentos de atacar servidores Exim el 9 de junio. Por el ataque del 13 de junio personaje. Después de explotar la vulnerabilidad a través de puertas de enlace tor2web, se descarga un script del servicio oculto Tor (an7kmd2wp4xo7hpr) que verifica la presencia de OpenSSH (si no ), cambia su configuración ( inicio de sesión de root y autenticación de clave) y configura al usuario como root , que proporciona acceso privilegiado al sistema a través de SSH.
Después de configurar la puerta trasera, se instala un escáner de puertos en el sistema para identificar otros servidores vulnerables. El sistema también busca sistemas de minería existentes, que se eliminan si se identifican. En la última etapa, su propio minero se descarga y registra en crontab. El minero se descarga bajo la apariencia de un archivo ico (en realidad es un archivo zip con la contraseña "sin contraseña"), que contiene un archivo ejecutable en formato ELF para Linux con Glibc 2.7+.
Fuente: opennet.ru