Turvateadlased ettevõttest Cybereason meiliserveri administraatorid massilise automatiseeritud rünnaku ärakasutamise tuvastamise kohta (CVE-2019-10149) Eximis, avastati eelmisel nädalal. Rünnaku ajal saavutavad ründajad oma koodi käivitamise juurõigustega ja installivad krüptovaluutade kaevandamiseks serverisse pahavara.
Juuni andmetel Eximi osakaal on 57.05% (aasta tagasi 56.56%), Postfix on kasutusel 34.52% (33.79%) meiliserverites, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Kõrval Shodani teenus on potentsiaalselt haavatav enam kui 3.6 miljoni ülemaailmse võrgu meiliserveri suhtes, mida ei ole värskendatud Exim 4.92 uusimale praegusele versioonile. Umbes 2 miljonit potentsiaalselt haavatavat serverit asub USA-s, 192 tuhat Venemaal. Kõrval RiskIQ ettevõte on juba 4.92% Eximi serveritest üle läinud versioonile 70.
Administraatoritel soovitatakse kiiresti installida värskendused, mis on eelmisel nädalal jaotuskomplektide poolt ette valmistatud (, , , , , ). Kui süsteemis on Eximi haavatav versioon (4.87 kuni 4.91 kaasa arvatud), peate veenduma, et süsteem pole juba ohustatud, kontrollides crontab kahtlaste kõnede suhtes ja veendudes, et kaustas /root/ poleks täiendavaid võtmeid. ssh kataloog. Rünnakule võib viidata ka pahavara allalaadimiseks kasutatavate hostide an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ja an7kmd2wp4xo7hpr.onion.sh tegevuste olemasolu tulemüüri logis.
Esimesed katsed rünnata Eximi servereid 9. juunil. 13. juuni rünnakuks iseloomu. Pärast haavatavuse ärakasutamist tor2webi lüüside kaudu laaditakse Tori peidetud teenusest (an7kmd2wp4xo7hpr) alla skript, mis kontrollib OpenSSH olemasolu (kui mitte ), muudab oma seadeid ( root sisselogimine ja võtme autentimine) ja seab kasutaja juureks , mis pakub SSH kaudu privilegeeritud juurdepääsu süsteemile.
Pärast tagaukse seadistamist installitakse süsteemi pordi skanner, et tuvastada teised haavatavad serverid. Süsteemist otsitakse ka olemasolevaid kaevandamissüsteeme, mis tuvastamisel kustutatakse. Viimases etapis laaditakse teie enda kaevandaja alla ja registreeritakse crontabis. Miner laaditakse alla ico-faili varjus (tegelikult on see zip-arhiiv parooliga “no-password”), mis sisaldab ELF-vormingus käivitatavat faili Glibc 2.7+ Linuxi jaoks.
Allikas: opennet.ru