Investigadores de seguridade de Cybereason administradores de servidores de correo sobre identificar un ataque masivo de explotación automatizada (CVE-2019-10149) en Exim, descuberto a semana pasada. Durante o ataque, os atacantes conseguen a execución do seu código con dereitos de root e instalan malware no servidor para minar criptomoedas.
Segundo xuño A participación de Exim é do 57.05% (hai un ano 56.56%), Postfix úsase no 34.52% (33.79%) dos servidores de correo, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Por O servizo Shodan segue sendo potencialmente vulnerable a máis de 3.6 millóns de servidores de correo da rede global que non se actualizaron á última versión actual de Exim 4.92. Uns 2 millóns de servidores potencialmente vulnerables están localizados nos Estados Unidos, 192 mil en Rusia. Por A empresa RiskIQ xa pasou á versión 4.92 do 70% dos servidores con Exim.
Recoméndaselles aos administradores que instalen con urxencia as actualizacións que prepararon os kits de distribución a semana pasada (, , , , , ). Se o sistema ten unha versión vulnerable de Exim (de 4.87 a 4.91 inclusive), cómpre asegurarse de que o sistema non estea comprometido verificando se hai chamadas sospeitosas en crontab e asegurándose de que non hai chaves adicionais no /root/. directorio ssh. Un ataque tamén se pode indicar pola presenza no rexistro do firewall da actividade dos hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io e an7kmd2wp4xo7hpr.onion.sh, que se utilizan para descargar malware.
Primeiros intentos de atacar servidores Exim o 9 de xuño. Ata o ataque do 13 de xuño personaxe. Despois de explotar a vulnerabilidade a través das pasarelas tor2web, descárgase un script do servizo oculto Tor (an7kmd2wp4xo7hpr) que verifica a presenza de OpenSSH (se non ), cambia a súa configuración ( inicio de sesión root e autenticación de clave) e configura o usuario como root , que proporciona acceso privilexiado ao sistema a través de SSH.
Despois de configurar a porta traseira, instálase un escáner de portos no sistema para identificar outros servidores vulnerables. O sistema tamén se busca nos sistemas de minería existentes, que se eliminan se se identifican. Na última etapa, o teu propio mineiro descárgase e rexístrase en crontab. O mineiro descárgase baixo o pretexto dun ficheiro ico (de feito é un arquivo zip co contrasinal "sen contrasinal"), que contén un ficheiro executable en formato ELF para Linux con Glibc 2.7+.
Fonte: opennet.ru