साइबरएज़न के सुरक्षा शोधकर्ता मेल सर्वर प्रशासक एक बड़े पैमाने पर स्वचालित हमले के शोषण की पहचान करने के बारे में (CVE-2019-10149) एक्ज़िम में, पिछले सप्ताह खोजा गया। हमले के दौरान, हमलावर रूट अधिकारों के साथ अपने कोड का निष्पादन करते हैं और क्रिप्टोकरेंसी खनन के लिए सर्वर पर मैलवेयर इंस्टॉल करते हैं।
जून के अनुसार एक्ज़िम की हिस्सेदारी 57.05% (एक साल पहले 56.56%) है, पोस्टफ़िक्स का उपयोग 34.52% (33.79%) मेल सर्वर, सेंडमेल - 4.05% (4.59%), माइक्रोसॉफ्ट एक्सचेंज - 0.57% (0.85%) पर किया जाता है। द्वारा Shodan सेवा वैश्विक नेटवर्क पर 3.6 मिलियन से अधिक मेल सर्वरों के लिए संभावित रूप से असुरक्षित बनी हुई है, जिन्हें Exim 4.92 की नवीनतम वर्तमान रिलीज़ के लिए अद्यतन नहीं किया गया है। लगभग 2 मिलियन संभावित रूप से असुरक्षित सर्वर संयुक्त राज्य अमेरिका में और 192 हजार रूस में स्थित हैं। द्वारा रिस्कआईक्यू कंपनी पहले ही एक्ज़िम के साथ 4.92% सर्वरों में से संस्करण 70 पर स्विच कर चुकी है।
प्रशासकों को सलाह दी जाती है कि वे उन अद्यतनों को तत्काल स्थापित करें जो पिछले सप्ताह वितरण किट द्वारा तैयार किए गए थे (, , , , , ). यदि सिस्टम में एक्ज़िम का एक कमजोर संस्करण है (4.87 से 4.91 तक), तो आपको यह सुनिश्चित करना होगा कि सिस्टम पहले से ही संदिग्ध कॉल के लिए क्रॉस्टैब की जांच करके और यह सुनिश्चित करके समझौता नहीं किया गया है कि /रूट/ में कोई अतिरिक्त कुंजी नहीं है। एसएसएच निर्देशिका। किसी हमले का संकेत होस्ट an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io और an7kmd2wp4xo7hpr.onion.sh से गतिविधि के फ़ायरवॉल लॉग में उपस्थिति से भी किया जा सकता है, जिनका उपयोग मैलवेयर डाउनलोड करने के लिए किया जाता है।
एक्ज़िम सर्वर पर हमला करने का पहला प्रयास 9 जून. 13 जून को हमला चरित्र। Tor2web गेटवे के माध्यम से भेद्यता का फायदा उठाने के बाद, Tor छिपी हुई सेवा (an7kmd2wp4xo7hpr) से एक स्क्रिप्ट डाउनलोड की जाती है जो OpenSSH की उपस्थिति की जांच करती है (यदि नहीं तो) ), इसकी सेटिंग्स बदलता है ( रूट लॉगिन और कुंजी प्रमाणीकरण) और उपयोगकर्ता को रूट पर सेट करता है , जो SSH के माध्यम से सिस्टम तक विशेषाधिकार प्राप्त पहुंच प्रदान करता है।
बैकडोर स्थापित करने के बाद, अन्य कमजोर सर्वरों की पहचान करने के लिए सिस्टम पर एक पोर्ट स्कैनर स्थापित किया जाता है। सिस्टम में मौजूदा खनन प्रणालियों की भी खोज की जाती है, जिन्हें पहचाने जाने पर हटा दिया जाता है। अंतिम चरण में, आपका अपना माइनर डाउनलोड किया जाता है और क्रोंटैब में पंजीकृत किया जाता है। माइनर को एक ico फ़ाइल की आड़ में डाउनलोड किया जाता है (वास्तव में यह पासवर्ड "नो-पासवर्ड" के साथ एक ज़िप संग्रह है), जिसमें Glibc 2.7+ के साथ लिनक्स के लिए ELF प्रारूप में एक निष्पादन योग्य फ़ाइल शामिल है।
स्रोत: opennet.ru