Peneliti keamanan dari Cybereason administrator server email tentang mengidentifikasi eksploitasi serangan otomatis besar-besaran (CVE-2019-10149) di Exim, ditemukan minggu lalu. Selama serangan, penyerang mencapai eksekusi kode mereka dengan hak root dan menginstal malware di server untuk menambang cryptocurrency.
Menurut bulan Juni Pangsa Exim adalah 57.05% (tahun lalu 56.56%), Postfix digunakan di 34.52% (33.79%) server email, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Oleh Layanan Shodan tetap berpotensi rentan terhadap lebih dari 3.6 juta server email di jaringan global yang belum diperbarui ke rilis terbaru Exim 4.92. Sekitar 2 juta server yang berpotensi rentan berlokasi di Amerika Serikat, 192 ribu di Rusia. Oleh Perusahaan RiskIQ telah beralih ke versi 4.92 dari 70% server dengan Exim.
Administrator disarankan untuk segera menginstal pembaruan yang disiapkan oleh kit distribusi minggu lalu (, , , , , ). Jika sistem memiliki versi Exim yang rentan (termasuk 4.87 hingga 4.91), Anda perlu memastikan bahwa sistem belum disusupi dengan memeriksa crontab untuk panggilan mencurigakan dan memastikan tidak ada kunci tambahan di /root/. direktori ssh. Serangan juga dapat ditunjukkan dengan adanya log aktivitas firewall dari host an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io dan an7kmd2wp4xo7hpr.onion.sh, yang digunakan untuk mengunduh malware.
Upaya pertama untuk menyerang server Exim tanggal 9 Juni. Pada serangan 13 Juni karakter. Setelah mengeksploitasi kerentanan melalui gateway tor2web, sebuah skrip diunduh dari layanan tersembunyi Tor (an7kmd2wp4xo7hpr) yang memeriksa keberadaan OpenSSH (jika tidak ), mengubah pengaturannya ( login root dan otentikasi kunci) dan mengatur pengguna untuk melakukan root , yang memberikan akses istimewa ke sistem melalui SSH.
Setelah menyiapkan pintu belakang, pemindai port dipasang pada sistem untuk mengidentifikasi server rentan lainnya. Sistem juga mencari sistem penambangan yang ada, yang akan dihapus jika teridentifikasi. Pada tahap terakhir, penambang Anda sendiri diunduh dan didaftarkan di crontab. Penambang diunduh dengan kedok file ico (sebenarnya ini adalah arsip zip dengan kata sandi “tanpa kata sandi”), yang berisi file yang dapat dieksekusi dalam format ELF untuk Linux dengan Glibc 2.7+.
Sumber: opennet.ru