ProHoster > Blog > nouvèl sou entènèt > Gwo atak sou serveurs lapòs vilnerab ki baze sou Exim

Gwo atak sou serveurs lapòs vilnerab ki baze sou Exim

Chèchè sekirite nan Cybereason te avèti administratè sèvè lapòs sou idantifye yon gwo eksplwatasyon atak otomatik vilnerabilite kritik (CVE-2019-10149) nan Exim, dekouvri semèn pase a. Pandan atak la, atakè yo reyalize kòd yo ak dwa rasin epi enstale malveyan sou sèvè a pou min kriptografik lajan.

Dapre jen an sondaj otomatik Pataje Exim a se 57.05% (yon ane de sa 56.56%), Postfix yo itilize sou 34.52% (33.79%) nan serveurs lapòs, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Pa bay yo Sèvis Shodan rete potansyèlman vilnerab a plis pase 3.6 milyon sèvè lapòs sou rezo mondyal la ki pa te mete ajou ak dènye lage aktyèl la nan Exim 4.92. Apeprè 2 milyon sèvè potansyèlman vilnerab yo sitiye nan Etazini yo, 192 mil nan Larisi. Pa enfòmasyon Konpayi RiskIQ te deja chanje nan vèsyon 4.92 nan 70% nan serveurs ak Exim.

Gwo atak sou serveurs lapòs vilnerab ki baze sou Exim

Yo konseye administratè yo pou yo enstale ijan mizajou ki te prepare pa twous distribisyon semèn pase a (dbyan, Ubentu, openSUSE, Arch Linux, Feutr, EPEL pou RHEL/CentOS). Si sistèm nan gen yon vèsyon vilnerab nan Exim (soti nan 4.87 a 4.91 enklizif), ou bezwen asire w ke sistèm nan pa deja konpwomèt lè w tcheke crontab pou apèl sispèk epi asire w ke pa gen okenn kle adisyonèl nan /root/ la. ssh anyè. Yon atak ka endike tou pa prezans nan boutèy la firewall nan aktivite ki gen tout pouvwa a an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ak an7kmd2wp4xo7hpr.onion.sh, ki yo te itilize yo telechaje malveyan.

Premye tantativ pou atake serveurs Exim anrejistre 9 jen. Pa 13 jen atak te pran mas karaktè. Apre eksplwate vilnerabilite a atravè pòtay tor2web, yo telechaje yon script nan sèvis kache Tor (an7kmd2wp4xo7hpr) ki tcheke pou prezans OpenSSH (si se pa sa). ansanm), chanje paramèt li yo (pèmèt koneksyon rasin ak otantifikasyon kle) epi li mete itilizatè a rasin RSA kle, ki bay aksè privilejye nan sistèm nan atravè SSH.

Apre mete degize a, yon eskanè pò enstale sou sistèm lan pou idantifye lòt serveurs vilnerab yo. Yo chèche sistèm nan tou pou sistèm min ki egziste deja, ki efase si yo idantifye. Nan dènye etap la, pwòp minè ou telechaje epi anrejistre nan crontab. Se minè a telechaje anba laparans yon dosye ico (an reyalite li se yon achiv postal ak modpas la "pa gen modpas"), ki gen yon dosye ègzèkutabl nan fòma ELF pou Linux ak Glibc 2.7+.

Sous: opennet.ru

Add nouvo kòmantè