ProHoster > وبلاگ > اخبار اینترنتی > حمله انبوه به سرورهای ایمیل آسیب پذیر مبتنی بر Exim

حمله انبوه به سرورهای ایمیل آسیب پذیر مبتنی بر Exim

محققان امنیتی از Cybereason هشدار داد مدیران سرور پست الکترونیکی در مورد شناسایی یک حمله خودکار گسترده آسیب پذیری بحرانی (CVE-2019-10149) در Exim، هفته گذشته کشف شد. در طول حمله، مهاجمان به اجرای کد خود با حقوق ریشه دست می یابند و بدافزار را برای استخراج ارزهای دیجیتال روی سرور نصب می کنند.

با توجه به ژوئن بررسی خودکار سهم Exim 57.05٪ (یک سال قبل 56.56٪)، Postfix در 34.52٪ (33.79٪) از سرورهای ایمیل، Sendmail - 4.05٪ (4.59٪)، Microsoft Exchange - 0.57٪ (0.85٪) استفاده می شود. توسط طبق سرویس Shodan به طور بالقوه در برابر بیش از 3.6 میلیون سرور ایمیل در شبکه جهانی که به آخرین نسخه فعلی Exim 4.92 به روز نشده اند آسیب پذیر است. حدود 2 میلیون سرور بالقوه آسیب پذیر در ایالات متحده و 192 هزار در روسیه قرار دارند. توسط اطلاعات شرکت RiskIQ قبلاً به نسخه 4.92 از 70 درصد سرورهای دارای Exim تغییر مکان داده است.

حمله انبوه به سرورهای ایمیل آسیب پذیر مبتنی بر Exim

به مدیران توصیه می‌شود فوراً به‌روزرسانی‌هایی را که هفته گذشته توسط کیت‌های توزیع تهیه شده بود، نصب کنند (دبیان, اوبونتو, openSUSE, قوس لینوکس, کلاه نمدی مردانه, EPEL برای RHEL/CentOS). اگر سیستم دارای نسخه آسیب‌پذیر Exim است (از 4.87 تا 4.91)، باید با بررسی crontab برای تماس‌های مشکوک و اطمینان از اینکه هیچ کلید اضافی در /root/ وجود ندارد، مطمئن شوید که سیستم از قبل در خطر نیست. دایرکتوری ssh. حمله همچنین می‌تواند با حضور در گزارش فعالیت فایروال از میزبان‌های an7kmd2wp4xo7hpr.tor2web.su، an7kmd2wp4xo7hpr.tor2web.io و an7kmd2wp4xo7hpr.onion.sh که برای دانلود بدافزار استفاده می‌شوند، نشان داده شود.

اولین تلاش برای حمله به سرورهای Exim درست شد نهم ژوئن تا حمله 9 ژوئن زمان جرم شخصیت. پس از بهره برداری از آسیب پذیری از طریق دروازه های tor2web، یک اسکریپت از سرویس مخفی Tor (an7kmd2wp4xo7hpr) دانلود می شود که وجود OpenSSH را بررسی می کند (اگر نه مجموعه ها، تنظیمات آن را تغییر می دهد (اجازه می دهد ورود به سیستم ریشه و احراز هویت کلید) و کاربر را روی روت تنظیم می کند کلید RSA، که دسترسی ممتاز به سیستم را از طریق SSH فراهم می کند.

پس از راه اندازی درب پشتی، یک پورت اسکنر بر روی سیستم نصب می شود تا سایر سرورهای آسیب پذیر را شناسایی کند. این سیستم همچنین برای سیستم های استخراج موجود جستجو می شود که در صورت شناسایی حذف می شوند. در آخرین مرحله، ماینر خود شما دانلود و در crontab ثبت می شود. ماینر تحت پوشش یک فایل ico دانلود می شود (در واقع این یک بایگانی فشرده با رمز عبور "بدون رمز عبور" است) که حاوی یک فایل اجرایی با فرمت ELF برای لینوکس با Glibc 2.7+ است.

منبع: opennet.ru

اضافه کردن نظر