Cybereason öryggisrannsakendur stjórnendur póstþjóna um uppgötvun stórfelldrar sjálfvirkrar árásar sem misnotar (CVE-2019-10149) í Exim, auðkennt í síðustu viku. Meðan á árásinni stendur ná árásarmennirnir að keyra kóðann sinn sem rót og setja upp spilliforrit á þjóninum til að vinna dulritunargjaldmiðla.
júní hlutur Exim er 57.05% (fyrir ári síðan 56.56%), Postfix er notað á 34.52% (33.79%) póstþjóna, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). By af Shodan þjónustunni eru meira en 3.6 milljónir póstþjóna á hnattræna netinu áfram hugsanlega viðkvæmir, sem eru ekki uppfærðir í nýjustu útgáfuna af Exim 4.92. Um 2 milljónir hugsanlega viðkvæmra netþjóna eru staðsettir í Bandaríkjunum, 192 þúsund í Rússlandi. By RiskIQ hefur þegar uppfært 4.92% af Exim netþjónum í útgáfu 70.

Stjórnendum er bent á að setja strax upp uppfærslur sem voru unnar af dreifingum í síðustu viku (, , , , , ). Ef kerfið er með viðkvæma útgáfu af Exim (frá 4.87 til 4.91 að meðtöldum) þarftu að ganga úr skugga um að kerfið sé ekki þegar í hættu með því að athuga crontab fyrir grunsamleg símtöl og ganga úr skugga um að það séu engir viðbótarlyklar í /root/. ssh skrá. Árás er einnig hægt að gefa til kynna með tilvist í eldveggsskránni um virkni frá gestgjöfunum an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io og an7kmd2wp4xo7hpr.onion.sh, sem eru notaðir í niðurhalsferli spilliforrita.
Fyrstu árásirnar á Exim netþjóna hinn 9. júní. Fyrir 13. júní árás karakter. Eftir að hafa nýtt sér varnarleysið í gegnum tor2web gáttir er skriftu hlaðið frá Tor falinni þjónustu (an7kmd2wp4xo7hpr) sem athugar hvort OpenSSH sé til staðar (ef ekki ), breytir stillingum þess ( rót innskráningu og lykilauðkenningu) og stillir rót notanda á A sem veitir forréttindaaðgang að kerfinu í gegnum SSH.
Eftir að bakdyrnar hafa verið stilltar er portaskannari settur upp á kerfinu til að greina aðra viðkvæma netþjóna. Kerfið er einnig skannað fyrir núverandi námuvinnslukerfi, sem eru fjarlægð ef þau finnast. Síðasta skrefið er að hlaða niður og bæta við sérsniðnum námuvinnsluforriti í crontab-skrána. Námuvinnsluforritið er hlaðið niður sem .ico skrá (í raun zip-skjalasafn með lykilorðinu "no-password"), sem inniheldur keyrsluskrá í ELF-sniði fyrir Linux með Glibc 2.7+.
Heimild: opennet.ru
