Cybereason-eko segurtasun ikertzaileak posta-zerbitzarien administratzaileei eraso automatizatu masibo bat ustiatzeari buruz (CVE-2019-10149) Exim-en, joan den astean aurkitu zuten. Erasoan zehar, erasotzaileek euren kodea exekutatzen dute root eskubideekin eta malwarea instalatzen dute zerbitzarian kripto-moneta meatzaritzarako.
Ekainaren arabera Exim-en kuota % 57.05 da (duela urtebete % 56.56), Postfix posta zerbitzarien % 34.52 (% 33.79), Sendmail - % 4.05 (% 4.59), Microsoft Exchange - % 0.57 (% 0.85). Nork Shodan zerbitzuak Exim 3.6-ren azken bertsiora eguneratu ez diren sare globaleko 4.92 milioi posta zerbitzari baino gehiagoren aurrean ahul izaten jarraitzen du. Ahulezia izan daitezkeen 2 milioi zerbitzari inguru Estatu Batuetan daude, 192 mila Errusian. Nork RiskIQ konpainiak dagoeneko 4.92 bertsiora aldatu du Exim-ekin zerbitzarien % 70en.
Administratzaileei gomendatzen zaie joan den astean banaketa-kitek prestatu zituzten eguneraketak premiaz instalatzea (, , , , , ). Sistemak Exim-en bertsio zaurgarri bat badu (4.87tik 4.91ra biak barne), ziurtatu behar duzu sistema ez dagoela arriskuan dagoeneko crontab dei susmagarririk dagoen egiaztatuz eta /root/-n gako gehigarririk ez dagoela ziurtatuz. ssh direktorioa. Eraso bat an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io eta an7kmd2wp4xo7hpr.onion.sh ostalarien jardueraren suebakian egoteagatik ere adieraz daiteke, malwarea deskargatzeko erabiltzen direnak.
Exim zerbitzariak erasotzeko lehen saiakerak ekainaren 9an. Ekainaren 13rako erasoa pertsonaia. Zaurgarritasuna tor2web atebideen bidez ustiatu ondoren, Tor ezkutuko zerbitzutik (an7kmd2wp4xo7hpr) OpenSSH-ren presentzia egiaztatzen duen script bat deskargatzen da (ez bada. ), bere ezarpenak aldatzen ditu ( root saioa eta gakoen autentifikazioa) eta erabiltzailea root-a ezartzen du , SSH bidez sistemarako sarbide pribilegiatua eskaintzen duena.
Atzeko atea konfiguratu ondoren, ataka eskaner bat instalatzen da sisteman beste zerbitzari ahulak identifikatzeko. Sisteman dauden meatze-sistemak ere bilatzen dira, identifikatzen badira ezabatzen direnak. Azken fasean, zure meatzaria deskargatu eta erregistratzen da crontab-en. Meatzaria ico fitxategi baten itxurapean deskargatzen da (izan ere, zip artxibo bat da "pasahitzarik gabeko" pasahitza duena), eta bertan ELF formatuan fitxategi exekutagarri bat dauka Glibc 2.7+ Linuxerako.
Iturria: opennet.ru