Chercheurs en sécurité de Cybereason administrateurs de serveurs de messagerie pour identifier une attaque automatisée massive exploitant (CVE-2019-10149) dans Exim, découvert la semaine dernière. Au cours de l'attaque, les attaquants parviennent à exécuter leur code avec les droits root et installent des logiciels malveillants sur le serveur pour extraire des crypto-monnaies.
Selon le mois de juin La part d'Exim est de 57.05 % (il y a un an 56.56 %), Postfix est utilisé sur 34.52 % (33.79 %) des serveurs de messagerie, Sendmail - 4.05 % (4.59 %), Microsoft Exchange - 0.57 % (0.85 %). Par Le service Shodan reste potentiellement vulnérable à plus de 3.6 millions de serveurs de messagerie sur le réseau mondial qui n'ont pas été mis à jour vers la dernière version actuelle d'Exim 4.92. Environ 2 millions de serveurs potentiellement vulnérables se trouvent aux États-Unis, 192 XNUMX en Russie. Par La société RiskIQ a déjà basculé vers la version 4.92 de 70% des serveurs avec Exim.
Il est conseillé aux administrateurs d'installer de toute urgence les mises à jour préparées par les kits de distribution la semaine dernière (, , , , , ). Si le système dispose d'une version vulnérable d'Exim (de 4.87 à 4.91 inclus), vous devez vous assurer que le système n'est pas déjà compromis en vérifiant crontab pour les appels suspects et en vous assurant qu'il n'y a pas de clés supplémentaires dans le /root/. répertoire ssh. Une attaque peut également être indiquée par la présence dans le journal du pare-feu de l'activité des hôtes an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io et an7kmd2wp4xo7hpr.onion.sh, qui sont utilisés pour télécharger des logiciels malveillants.
Premières tentatives d'attaque des serveurs Exim le 9 juin. Avant l'attaque du 13 juin personnage. Après avoir exploité la vulnérabilité via les passerelles tor2web, un script est téléchargé depuis le service caché Tor (an7kmd2wp4xo7hpr) qui vérifie la présence d'OpenSSH (sinon ), modifie ses paramètres ( connexion root et authentification par clé) et définit l'utilisateur sur root , qui offre un accès privilégié au système via SSH.
Après avoir configuré la porte dérobée, un scanner de ports est installé sur le système pour identifier les autres serveurs vulnérables. Le système recherche également les systèmes miniers existants, qui sont supprimés s'ils sont identifiés. Lors de la dernière étape, votre propre mineur est téléchargé et enregistré dans crontab. Le mineur est téléchargé sous couvert d'un fichier ico (en fait il s'agit d'une archive zip avec le mot de passe « no-password »), qui contient un fichier exécutable au format ELF pour Linux avec Glibc 2.7+.
Source: opennet.ru