Taighdeoirí slándála ó Cybereason riarthóirí freastalaí ríomhphoist faoi ionsaí uathoibrithe ollmhór a aithint atá á shaothrú (CVE-2019-10149) in Exim, a thángthas air an tseachtain seo caite. Le linn an ionsaí, ionsaitheoirí a bhaint amach forghníomhú a gcód le cearta fréimhe agus malware a shuiteáil ar an bhfreastalaí le haghaidh cryptocurrencies mianadóireachta.
Dar leis an Meitheamh Is é sciar Exim ná 57.05% (bliain ó shin 56.56%), úsáidtear Postfix ar 34.52% (33.79%) de na freastalaithe ríomhphoist, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Le Tá seirbhís Shodan fós i mbaol níos mó ná 3.6 milliún freastalaithe ríomhphoist ar an ngréasán domhanda nár nuashonraíodh go dtí an scaoileadh reatha is déanaí de Exim 4.92. Tá thart ar 2 mhilliún freastalaí a d’fhéadfadh a bheith leochaileach sna Stáit Aontaithe, 192 míle sa Rúis. Le Tá cuideachta RiskIQ tar éis aistriú go leagan 4.92 de 70% de na freastalaithe le Exim cheana féin.
Moltar do riarthóirí nuashonruithe a d'ullmhaigh feisteáin dáileacháin an tseachtain seo caite a shuiteáil go práinneach (, , , , , ). Má tá leagan leochaileach de Exim ag an gcóras (ó 4.87 go 4.91 san áireamh), ní mór duit a chinntiú nach bhfuil an córas i mbaol cheana féin trí crontab a sheiceáil le haghaidh glaonna amhrasacha agus a chinntiú nach bhfuil aon eochracha breise sa /root/. eolaire ssh. Is féidir ionsaí a léiriú freisin trí láithreacht ghníomhaíochta sa logáil balla dóiteáin ó na hóstach an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io agus an7kmd2wp4xo7hpr.onion.sh, a úsáidtear chun malware a íoslódáil.
Na chéad iarrachtaí chun ionsaí a dhéanamh ar fhreastalaithe Exim an 9ú Meitheamh. Faoi 13 Meitheamh ionsaí carachtar. Tar éis leas a bhaint as an leochaileacht trí gheataí tor2web, íoslódáiltear script ó sheirbhís fholaithe Tor (an7kmd2wp4xo7hpr) a sheiceálann láithreacht OpenSSH (mura ), athraíonn a shocruithe ( logáil isteach fréimhe agus fíordheimhniú eochair) agus socraíonn sé an t-úsáideoir a fhréamh , a sholáthraíonn rochtain phribhléideach ar an gcóras trí SSH.
Tar éis an backdoor a shocrú, tá scanóir calafoirt suiteáilte ar an gcóras chun freastalaithe leochaileacha eile a aithint. Cuardaítear an córas freisin do chórais mhianadóireachta atá ann cheana féin, a scriostar má aithnítear iad. Ag an gcéim dheireanach, tá do miner féin a íoslódáil agus a chlárú i crontab. Déantar an miner a íoslódáil faoi chruth comhaid ico (go deimhin is cartlann zip é leis an bhfocal faire “gan pasfhocal”), ina bhfuil comhad inrite i bhformáid ELF le haghaidh Linux le Glibc 2.7+.
Foinse: oscailtenet.ru