Feiligensûndersikers fan Cybereason e-posttsjinnerbehearders oer it identifisearjen fan in massale automatisearre oanfal eksploitearje (CVE-2019-10149) yn Exim, ferline wike ûntdutsen. Tidens de oanfal berikke oanfallers útfiering fan har koade mei rootrjochten en ynstallearje malware op 'e tsjinner foar mynbou fan cryptocurrencies.
Neffens de June It oandiel fan Exim is 57.05% (in jier lyn 56.56%), Postfix wurdt brûkt op 34.52% (33.79%) fan e-posttsjinners, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Troch Shodan-tsjinst bliuwt potinsjeel kwetsber foar mear dan 3.6 miljoen e-posttsjinners op it wrâldwide netwurk dy't net binne bywurke nei de lêste aktuele release fan Exim 4.92. Sawat 2 miljoen potinsjeel kwetsbere servers lizze yn 'e Feriene Steaten, 192 tûzen yn Ruslân. Troch RiskIQ bedriuw is al oerstapt nei ferzje 4.92 fan 70% fan servers mei Exim.
Behearders wurde advisearre om driuwend updates te ynstallearjen dy't ferline wike waarden taret troch distribúsjekits (, , , , , ). As it systeem in kwetsbere ferzje fan Exim hat (fan 4.87 oant 4.91 ynklusyf), moatte jo derfoar soargje dat it systeem net al kompromittearre is troch crontab te kontrolearjen op fertochte oproppen en te soargjen dat d'r gjin ekstra kaaien binne yn 'e /root/. ssh triemtafel. In oanfal kin ek oanjûn wurde troch de oanwêzigens yn it firewall-log fan aktiviteit fan 'e hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io en an7kmd2wp4xo7hpr.onion.sh, dy't brûkt wurde om malware te downloaden.
Earste besykjen om Exim-tsjinners oan te fallen 9 juny. Troch 13 juny oanfal personaazje. Nei it eksploitearjen fan de kwetsberens fia tor2web-gateways, wurdt in skript ynladen fan 'e Tor ferburgen tsjinst (an7kmd2wp4xo7hpr) dy't kontrolearret op de oanwêzigens fan OpenSSH (as net ), feroaret syn ynstellings ( root login en kaai autentikaasje) en stelt de brûker yn op root , dy't befoarrjochte tagong jout ta it systeem fia SSH.
Nei it ynstellen fan de efterdoar wurdt in poartescanner ynstalleare op it systeem om oare kwetsbere servers te identifisearjen. It systeem wurdt ek socht foar besteande mynbousystemen, dy't wiske wurde as identifisearre. Op it lêste stadium wurdt jo eigen miner ynladen en registrearre yn crontab. De miner wurdt ynladen ûnder it mom fan in ico-bestân (yn feite is it in zip-argyf mei it wachtwurd "gjin-wachtwurd"), dy't in útfierber bestân befettet yn ELF-formaat foar Linux mei Glibc 2.7+.
Boarne: opennet.ru