Ricercatori di sicurezza di Cybereason amministratori dei server di posta sull'identificazione di un massiccio sfruttamento di attacchi automatizzati (CVE-2019-10149) in Exim, scoperto la settimana scorsa. Durante l'attacco, gli aggressori eseguono il proprio codice con diritti di root e installano malware sul server per estrarre criptovalute.
Secondo il giugno La quota di Exim è del 57.05% (un anno fa 56.56%), Postfix è utilizzato sul 34.52% (33.79%) dei server di posta, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Di Il servizio Shodan rimane potenzialmente vulnerabile a oltre 3.6 milioni di server di posta sulla rete globale che non sono stati aggiornati all'ultima versione corrente di Exim 4.92. Negli Stati Uniti si trovano circa 2 milioni di server potenzialmente vulnerabili, 192mila in Russia. Di La società RiskIQ è già passata alla versione 4.92 del 70% dei server con Exim.
Si consiglia agli amministratori di installare urgentemente gli aggiornamenti preparati dai kit di distribuzione la scorsa settimana (, , , , , ). Se il sistema ha una versione vulnerabile di Exim (dalla 4.87 alla 4.91 inclusa), è necessario assicurarsi che il sistema non sia già compromesso controllando crontab per chiamate sospette e assicurandosi che non ci siano chiavi aggiuntive in /root/. directory ssh. Un attacco può essere indicato anche dalla presenza nel registro del firewall di attività degli host an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io e an7kmd2wp4xo7hpr.onion.sh, che vengono utilizzati per scaricare malware.
Primi tentativi di attacco ai server Exim il 9 giugno. Entro il 13 giugno attacco carattere. Dopo aver sfruttato la vulnerabilità tramite i gateway tor2web, viene scaricato uno script dal servizio nascosto Tor (an7kmd2wp4xo7hpr) che verifica la presenza di OpenSSH (se non ), modifica le sue impostazioni ( login root e autenticazione con chiave) e imposta l'utente su root , che fornisce accesso privilegiato al sistema tramite SSH.
Dopo aver configurato la backdoor, sul sistema viene installato uno scanner di porte per identificare altri server vulnerabili. Nel sistema vengono inoltre ricercati i sistemi di mining esistenti, che vengono cancellati se identificati. Nell'ultima fase, il tuo minatore viene scaricato e registrato in crontab. Il minatore viene scaricato sotto le sembianze di un file ico (in realtà è un archivio zip con la password “no-password”), che contiene un file eseguibile in formato ELF per Linux con Glibc 2.7+.
Fonte: opennet.ru