Անվտանգության հետազոտողներ Cybereason-ից փոստի սերվերի ադմինիստրատորները զանգվածային ավտոմատացված հարձակման բացահայտման մասին (CVE-2019-10149) Exim-ում, հայտնաբերվել է անցյալ շաբաթ: Հարձակման ժամանակ հարձակվողները հասնում են իրենց կոդի կատարմանը արմատային իրավունքներով և սերվերի վրա տեղադրում են չարամիտ ծրագրեր՝ կրիպտոարժույթների մայնինգի համար:
հունիսի տվյալներով Exim-ի մասնաբաժինը կազմում է 57.05% (մեկ տարի առաջ՝ 56.56%), Postfix-ն օգտագործվում է փոստային սերվերների 34.52% (33.79%), Sendmail՝ 4.05% (4.59%), Microsoft Exchange՝ 0.57% (0.85%)։ Ըստ Shodan ծառայությունը պոտենցիալ խոցելի է մնում գլոբալ ցանցի ավելի քան 3.6 միլիոն փոստային սերվերների համար, որոնք չեն թարմացվել Exim 4.92-ի վերջին ընթացիկ թողարկմանը: Մոտ 2 միլիոն պոտենցիալ խոցելի սերվերներ տեղակայված են ԱՄՆ-ում, 192 հազարը՝ Ռուսաստանում։ Ըստ RiskIQ ընկերությունն արդեն անցել է Exim-ով սերվերների 4.92%-ի 70 տարբերակին:
Ադմինիստրատորներին խորհուրդ է տրվում շտապ տեղադրել թարմացումներ, որոնք պատրաստվել են անցյալ շաբաթ բաշխման փաթեթների կողմից (, , , , , ) Եթե համակարգն ունի Exim-ի խոցելի տարբերակ (4.87-ից մինչև 4.91 ներառյալ), դուք պետք է համոզվեք, որ համակարգն արդեն վտանգված չէ՝ ստուգելով crontab-ը կասկածելի զանգերի համար և համոզվելով, որ /root/-ում լրացուցիչ բանալիներ չկան: ssh գրացուցակ: Հարձակումը կարող է նշվել նաև firewall-ի գործունեության մատյանում առկայությամբ an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io և an7kmd2wp4xo7hpr.onion.sh հոսթերից, որոնք օգտագործվում են չարամիտ ծրագրեր ներբեռնելու համար:
Exim սերվերների վրա հարձակվելու առաջին փորձերը հունիսի 9-ը։ հունիսի 13-ի հարձակումը բնավորություն. Tor2web gateway-ների միջոցով խոցելիությունը շահագործելուց հետո Tor թաքնված ծառայությունից (an7kmd2wp4xo7hpr) ներբեռնվում է սցենար, որը ստուգում է OpenSSH-ի առկայությունը (եթե ոչ ), փոխում է իր կարգավորումները ( արմատային մուտք և բանալիների նույնականացում) և օգտագործողին սահմանում է արմատ , որն ապահովում է արտոնյալ մուտք դեպի համակարգ SSH-ի միջոցով:
Հետևի դուռը կարգավորելուց հետո համակարգի վրա տեղադրվում է նավահանգիստ սկաներ՝ այլ խոցելի սերվերները հայտնաբերելու համար: Համակարգում որոնվում է նաև գոյություն ունեցող հանքարդյունաբերական համակարգերը, որոնք բացահայտվելու դեպքում ջնջվում են: Վերջին փուլում ձեր սեփական հանքագործը ներբեռնվում և գրանցվում է crontab-ում: Հանքագործը ներբեռնվում է ico ֆայլի քողի տակ (իրականում դա zip արխիվ է՝ «առանց գաղտնաբառով»), որը պարունակում է ELF ձևաչափով գործարկվող ֆայլ Linux-ի համար Glibc 2.7+-ով:
Source: opennet.ru