Luchd-rannsachaidh tèarainteachd bho Cybereason luchd-rianachd frithealaichean puist mu bhith ag aithneachadh ionnsaigh mhòr fèin-ghluasadach a’ gabhail brath (CVE-2019-10149) ann an Exim, a chaidh a lorg an t-seachdain sa chaidh. Rè an ionnsaigh, bidh luchd-ionnsaigh a 'coileanadh a' chòd aca le còraichean bunaiteach agus a 'stàladh malware air an fhrithealaiche airson mèinneadh cryptocurrencies.
A rèir an Ògmhios Is e cuibhreann Exim 57.05% (bliadhna air ais 56.56%), tha Postfix air a chleachdadh air 34.52% (33.79%) de luchd-frithealaidh puist, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Le bhith Dh’ fhaodadh seirbheis Shodan fhathast a bhith so-leònte gu còrr air 3.6 millean frithealaiche puist air an lìonra chruinneil nach deach ùrachadh chun fhoillseachadh làithreach as ùire de Exim 4.92. Tha timcheall air 2 mhillean frithealaiche a dh’ fhaodadh a bhith so-leònte anns na Stàitean Aonaichte, 192 mìle anns an Ruis. Le bhith Tha companaidh RiskIQ mu thràth air tionndadh gu dreach 4.92 de 70% de na frithealaichean le Exim.
Thathas a’ comhairleachadh luchd-rianachd ùrachaidhean a chuir a-steach gu h-èiginneach a chaidh ullachadh le innealan cuairteachaidh an t-seachdain sa chaidh (, , , , , ). Ma tha dreach so-leònte de Exim aig an t-siostam (bho 4.87 gu 4.91 in-ghabhalach), feumaidh tu dèanamh cinnteach nach eil an siostam ann an cunnart mu thràth le bhith a’ sgrùdadh crontab airson fiosan amharasach agus a’ dèanamh cinnteach nach eil iuchraichean a bharrachd san fhaidhle /root/. eòlaire ssh. Faodar ionnsaigh a chomharrachadh cuideachd leis an làthaireachd ann an log gnìomhachd a ’bhalla-teine bho na h-aoighean an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io agus an7kmd2wp4xo7hpr.onion.sh, a thathas a’ cleachdadh gus malware a luchdachadh sìos.
A’ chiad oidhirp air ionnsaigh a thoirt air frithealaichean Exim an 9mh latha den Ògmhios. Ro ionnsaigh 13 Ògmhios caractar. Às deidh dhaibh brath a ghabhail air so-leòntachd tro gheataichean tor2web, thèid sgriobt a luchdachadh sìos bho sheirbheis falaichte Tor (an7kmd2wp4xo7hpr) a nì sgrùdadh airson làthaireachd OpenSSH (mura h-eil ), ag atharrachadh a roghainnean ( logadh a-steach root agus prìomh dhearbhadh) agus a’ suidheachadh an neach-cleachdaidh freumhachadh , a bheir cothrom sochair don t-siostam tro SSH.
Às deidh dhut an cùl-raon a stèidheachadh, thèid sganair puirt a chuir a-steach air an t-siostam gus frithealaichean so-leònte eile a chomharrachadh. Tha an siostam cuideachd a 'lorg airson siostaman mèinnearachd a th' ann mar-thà, a thèid a sguabadh às ma thèid an comharrachadh. Aig an ìre mu dheireadh, mhèinnear agad fhèin a luchdachadh a-nuas agus a chlàradh ann an crontab. Tha am mèinneadair air a luchdachadh sìos fo chumadh faidhle ico (gu dearbh is e tasglann zip a th ’ann leis an fhacal-fhaire“ no-password”), anns a bheil faidhle so-ghnìomhaichte ann an cruth ELF airson Linux le Glibc 2.7+.
Source: fosgailtenet.ru