Biztonsági kutatók a Cybereasontól levelezőszerver-adminisztrátorok egy hatalmas automatizált támadás azonosításáról (CVE-2019-10149) az Eximben, amelyet a múlt héten fedeztek fel. A támadás során a támadók root jogokkal hajtják végre a kódjukat, és rosszindulatú programokat telepítenek a szerverre kriptovaluták bányászatára.
A júniusi Az Exim részesedése 57.05% (egy évvel ezelőtt 56.56%), a Postfix a levelezőszerverek 34.52%-án (33.79%), a Sendmail 4.05% (4.59%), a Microsoft Exchange 0.57% (0.85%) található. Által A Shodan szolgáltatás továbbra is potenciálisan sebezhető a globális hálózat több mint 3.6 millió levelezőszerverével szemben, amelyeket nem frissítettek az Exim 4.92 legújabb kiadására. Körülbelül 2 millió potenciálisan sebezhető szerver található az Egyesült Államokban, 192 ezer Oroszországban. Által A RiskIQ cég már átváltott a 4.92-es verzióra a szerverek 70%-ánál az Exim segítségével.
A rendszergazdáknak azt tanácsoljuk, hogy sürgősen telepítsék azokat a frissítéseket, amelyeket a terjesztési készletek készítettek a múlt héten (, , , , , ). Ha a rendszerben van az Exim sebezhető verziója (4.87-től 4.91-ig), akkor meg kell győződnie arról, hogy a rendszer még nem került veszélybe. Ehhez ellenőrizze, hogy a crontab-ban vannak-e gyanús hívások, és győződjön meg arról, hogy nincsenek-e további kulcsok a /root/ könyvtárban. ssh könyvtárat. A támadást az is jelezheti, ha a tűzfalnaplóban a kártevő letöltésére használt an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io és an7kmd2wp4xo7hpr.onion.sh gazdagépek tevékenységei jelennek meg.
Az első kísérletek az Exim szerverek megtámadására június 9-e. Június 13-i támadásra karakter. A sebezhetőség tor2web átjárókon keresztüli kihasználása után a program letölt egy szkriptet a Tor rejtett szolgáltatásából (an7kmd2wp4xo7hpr), amely ellenőrzi az OpenSSH jelenlétét (ha nem ), megváltoztatja a beállításait ( root bejelentkezés és kulcshitelesítés), és a felhasználót root-ra állítja , amely SSH-n keresztül kiváltságos hozzáférést biztosít a rendszerhez.
A hátsó ajtó beállítása után egy portszkenner kerül a rendszerre, amely azonosítja a többi sebezhető szervert. A rendszer megkeresi a meglévő bányászati rendszereket is, amelyek azonosítás esetén törlésre kerülnek. Az utolsó szakaszban a saját bányásza letöltődik és regisztrálásra kerül a crontabban. A bányászt egy ico-fájl leple alatt töltik le (valójában ez egy zip-archívum „no-password” jelszóval), amely egy ELF formátumú végrehajtható fájlt tartalmaz Linuxhoz Glibc 2.7+ rendszerrel.
Forrás: opennet.ru