Cybereason öryggisrannsakendur stjórnendur póstþjóna um uppgötvun stórfelldrar sjálfvirkrar árásar sem misnotar (CVE-2019-10149) í Exim, auðkennt í síðustu viku. Meðan á árásinni stendur ná árásarmennirnir að keyra kóðann sinn sem rót og setja upp spilliforrit á þjóninum til að vinna dulritunargjaldmiðla.
júní hlutur Exim er 57.05% (fyrir ári síðan 56.56%), Postfix er notað á 34.52% (33.79%) póstþjóna, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). By af Shodan þjónustunni eru meira en 3.6 milljónir póstþjóna á hnattræna netinu áfram hugsanlega viðkvæmir, sem eru ekki uppfærðir í nýjustu útgáfuna af Exim 4.92. Um 2 milljónir hugsanlega viðkvæmra netþjóna eru staðsettir í Bandaríkjunum, 192 þúsund í Rússlandi. By RiskIQ hefur þegar uppfært 4.92% af Exim netþjónum í útgáfu 70.
Stjórnendum er bent á að setja strax upp uppfærslur sem voru unnar af dreifingum í síðustu viku (, , , , , ). Ef kerfið er með viðkvæma útgáfu af Exim (frá 4.87 til 4.91 að meðtöldum) þarftu að ganga úr skugga um að kerfið sé ekki þegar í hættu með því að athuga crontab fyrir grunsamleg símtöl og ganga úr skugga um að það séu engir viðbótarlyklar í /root/. ssh skrá. Árás er einnig hægt að gefa til kynna með tilvist í eldveggsskránni um virkni frá gestgjöfunum an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io og an7kmd2wp4xo7hpr.onion.sh, sem eru notaðir í niðurhalsferli spilliforrita.
Fyrstu árásirnar á Exim netþjóna hinn 9. júní. Fyrir 13. júní árás karakter. Eftir að hafa nýtt sér varnarleysið í gegnum tor2web gáttir er skriftu hlaðið frá Tor falinni þjónustu (an7kmd2wp4xo7hpr) sem athugar hvort OpenSSH sé til staðar (ef ekki ), breytir stillingum þess ( rót innskráningu og lykilauðkenningu) og stillir rót notanda á A sem veitir forréttindaaðgang að kerfinu í gegnum SSH.
Eftir að bakdyr hafa verið sett upp er gáttarskanni settur upp í kerfinu til að bera kennsl á aðra viðkvæma netþjóna. Það leitar einnig í kerfinu að núverandi námukerfum, sem er eytt ef það uppgötvast. Á síðasta stigi er þinn eigin námumaður hlaðinn og skráður í crontab. Miner er hlaðið niður undir því yfirskini að það er ico skrá (reyndar er það zip skjalasafn með "no-password" lykilorði), sem pakkar keyrsluskrá á ELF sniði fyrir Linux með Glibc 2.7+.
Heimild: opennet.ru