חוקרי אבטחה מ-Cybereason מנהלי שרתי דואר על זיהוי התקפה אוטומטית מסיבית תוך ניצול (CVE-2019-10149) ב-Exim, התגלה בשבוע שעבר. במהלך המתקפה, התוקפים משיגים ביצוע של הקוד שלהם עם זכויות שורש ומתקינים תוכנות זדוניות בשרת לכריית מטבעות קריפטוגרפיים.
לפי חודש יוני חלקה של אקסים עומד על 57.05% (לפני שנה 56.56%), Postfix נמצא בשימוש ב-34.52% (33.79%) משרתי הדואר, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). על ידי שירות Shodan נותר פגיע בפוטנציה ליותר מ-3.6 מיליון שרתי דואר ברשת הגלובלית שלא עודכנו לגרסה העדכנית האחרונה של Exim 4.92. כ-2 מיליון שרתים שעלולים להיות פגיעים נמצאים בארצות הברית, 192 אלף ברוסיה. על ידי חברת RiskIQ כבר עברה לגרסה 4.92 מתוך 70% מהשרתים עם Exim.
מומלץ למנהלי מערכת להתקין בדחיפות עדכונים שהוכנו על ידי ערכות הפצה בשבוע שעבר (, , , , , ). אם למערכת יש גרסה פגיעה של Exim (מ-4.87 עד 4.91 כולל), עליך לוודא שהמערכת לא כבר נפגעת על ידי בדיקת crontab לאיתור שיחות חשודות ולוודא שאין מפתחות נוספים ב-/root/. ספריית ssh. ניתן להצביע על התקפה גם על ידי נוכחות ביומן הפעילות של חומת האש של המארחים an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ו-an7kmd2wp4xo7hpr.onion.sh, המשמשים להורדת תוכנות זדוניות.
ניסיונות ראשונים לתקוף שרתי Exim ה-9 ביוני. עד הפיגוע ב-13 ביוני אופי. לאחר ניצול הפגיעות דרך שערים של tor2web, מורידים סקריפט מהשירות הנסתר של Tor (an7kmd2wp4xo7hpr) שבודק את נוכחותו של OpenSSH (אם לא ), משנה את ההגדרות שלו ( כניסה לשורש ואימות מפתח) ומגדיר את המשתמש ל-root , המספק גישה מועדפת למערכת באמצעות SSH.
לאחר הגדרת הדלת האחורית, סורק יציאות מותקן במערכת כדי לזהות שרתים פגיעים אחרים. המערכת גם מחפשת מערכות כרייה קיימות, אשר נמחקות אם מזוהות. בשלב האחרון, כורה משלך מוריד ונרשם ב-crontab. הכורה מוריד במסווה של קובץ ico (למעשה זהו ארכיון zip עם הסיסמה "no-password"), המכיל קובץ הפעלה בפורמט ELF עבור לינוקס עם Glibc 2.7+.
מקור: OpenNet.ru
