Tietoturvatutkijat Cybereasonista sähköpostipalvelimen järjestelmänvalvojille massiivisen automaattisen hyökkäyksen hyödyntämisen tunnistamisesta (CVE-2019-10149) Eximissä, löydettiin viime viikolla. Hyökkäyksen aikana hyökkääjät suorittavat koodinsa pääkäyttäjän oikeuksin ja asentavat palvelimelle haittaohjelmia kryptovaluuttojen louhintaa varten.
Kesäkuun mukaan Eximin osuus on 57.05 % (vuosi sitten 56.56 %), Postfixiä käytetään 34.52 %:lla (33.79 %) sähköpostipalvelimista, Sendmailia 4.05 % (4.59 %), Microsoft Exchangea 0.57 % (0.85 %). Tekijä: Shodan-palvelu on edelleen haavoittuvainen yli 3.6 miljoonalle maailmanlaajuisen verkon sähköpostipalvelimelle, joita ei ole päivitetty viimeisimpään nykyiseen Exim 4.92 -julkaisuun. Noin 2 miljoonaa mahdollisesti haavoittuvaa palvelinta sijaitsee Yhdysvalloissa ja 192 tuhatta Venäjällä. Tekijä: RiskIQ-yritys on jo siirtynyt versioon 4.92 70 prosentista Exim-palvelimista.
Järjestelmänvalvojia kehotetaan asentamaan kiireellisesti päivitykset, jotka on valmisteltu jakelusarjoilla viime viikolla (, , , , , ). Jos järjestelmässä on haavoittuva Exim-versio (4.87–4.91 mukaan lukien), sinun on varmistettava, ettei järjestelmä ole jo vaarantunut tarkistamalla crontabista epäilyttävät puhelut ja varmistamalla, ettei /root/ ole lisäavaimia. ssh-hakemisto. Hyökkäyksen voi ilmaista myös haittaohjelmien lataamiseen käytettävien isäntien an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ja an7kmd2wp4xo7hpr.onion.sh toiminnan olevan palomuurin lokissa.
Ensimmäiset yritykset hyökätä Exim-palvelimiin 9. kesäkuuta. 13. kesäkuun hyökkäykseen mennessä merkki. Kun haavoittuvuutta on hyödynnetty tor2web-yhdyskäytävien kautta, Torin piilotetusta palvelusta (an7kmd2wp4xo7hpr) ladataan komentosarja, joka tarkistaa OpenSSH:n olemassaolon (jos ei ), muuttaa asetuksiaan ( pääkäyttäjän kirjautuminen ja avaimen todennus) ja asettaa käyttäjän pääkäyttäjäksi , joka tarjoaa etuoikeutetun pääsyn järjestelmään SSH:n kautta.
Takaoven asennuksen jälkeen järjestelmään asennetaan porttitarkistus muiden haavoittuvien palvelimien tunnistamiseksi. Järjestelmästä etsitään myös olemassa olevia kaivosjärjestelmiä, jotka poistetaan, jos ne tunnistetaan. Viimeisessä vaiheessa oma kaivosmies ladataan ja rekisteröidään crontabissa. Miner ladataan ico-tiedoston varjolla (itse asiassa se on zip-arkisto, jossa on salasana ”no-password”), joka sisältää suoritettavan tiedoston ELF-muodossa Linuxille Glibc 2.7+:lla.
Lähde: opennet.ru