ProHoster > Blog > internetske vijesti > Skupni napad na ranjive poslužitelje e-pošte temeljene na Eximu

Skupni napad na ranjive poslužitelje e-pošte temeljene na Eximu

Sigurnosni istraživači iz Cybereasona upozorio administratorima poslužitelja pošte o identificiranju iskorištavanja masivnog automatiziranog napada kritična ranjivost (CVE-2019-10149) u Eximu, otkriven prošli tjedan. Tijekom napada napadači postižu izvršenje svog koda s root pravima i instaliraju malware na poslužitelj za rudarenje kriptovaluta.

Prema podacima lipnja automatizirano istraživanje Eximov udio je 57.05% (prije godinu dana 56.56%), Postfix se koristi na 34.52% (33.79%) mail servera, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Po podaci Usluga Shodan ostaje potencijalno ranjiva na više od 3.6 milijuna poslužitelja e-pošte na globalnoj mreži koji nisu ažurirani na najnovije trenutno izdanje Exima 4.92. Oko 2 milijuna potencijalno ranjivih poslužitelja nalazi se u Sjedinjenim Državama, 192 tisuće u Rusiji. Po informacije Tvrtka RiskIQ je već prešla na verziju 4.92 od 70% poslužitelja s Eximom.

Skupni napad na ranjive poslužitelje e-pošte temeljene na Eximu

Administratorima se savjetuje da hitno instaliraju ažuriranja koja su prošli tjedan pripremili distribucijski paketi (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL za RHEL/CentOS). Ako sustav ima ranjivu verziju Exima (od 4.87 do 4.91 uključivo), morate biti sigurni da sustav već nije ugrožen provjerom crontaba za sumnjive pozive i uvjeravanjem da nema dodatnih ključeva u /root/. ssh imenik. Na napad također može ukazati prisutnost aktivnosti u dnevniku vatrozida s hostova an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io i an7kmd2wp4xo7hpr.onion.sh, koji se koriste za preuzimanje zlonamjernog softvera.

Prvi pokušaji napada na Exim poslužitelje fiksni 9. lipnja. Do napada 13. lipnja uzeo masa lik. Nakon iskorištavanja ranjivosti kroz tor2web gateway, skripta se preuzima sa Tor skrivene usluge (an7kmd2wp4xo7hpr) koja provjerava prisutnost OpenSSH (ako nije skupove), mijenja svoje postavke (dopušta root prijava i provjera autentičnosti ključa) i postavlja korisnika na root RSA ključ, koji omogućuje privilegirani pristup sustavu putem SSH-a.

Nakon postavljanja stražnjih vrata, na sustav se instalira skener portova za prepoznavanje drugih ranjivih poslužitelja. Sustav se također pretražuje za postojeće rudarske sustave, koji se brišu ako se identificiraju. U posljednjoj fazi, vaš vlastiti rudar se preuzima i registrira u crontab. Miner se preuzima pod krinkom ico datoteke (zapravo je to zip arhiva s lozinkom “no-password”), koja sadrži izvršnu datoteku u ELF formatu za Linux s Glibc 2.7+.

Izvor: opennet.ru

Dodajte komentar