התקפה מסיבית על שרתי דואר פגיעים מבוססי Exim

חוקרי אבטחה מ-Cybereason הזהיר מנהלי שרתי דואר על זיהוי התקפה אוטומטית מסיבית תוך ניצול פגיעות קריטית (CVE-2019-10149) ב-Exim, התגלה בשבוע שעבר. במהלך המתקפה, התוקפים משיגים ביצוע של הקוד שלהם עם זכויות שורש ומתקינים תוכנות זדוניות בשרת לכריית מטבעות קריפטוגרפיים.

לפי חודש יוני סקר אוטומטי חלקה של אקסים עומד על 57.05% (לפני שנה 56.56%), Postfix נמצא בשימוש ב-34.52% (33.79%) משרתי הדואר, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). על ידי על פי שירות Shodan נותר פגיע בפוטנציה ליותר מ-3.6 מיליון שרתי דואר ברשת הגלובלית שלא עודכנו לגרסה העדכנית האחרונה של Exim 4.92. כ-2 מיליון שרתים שעלולים להיות פגיעים נמצאים בארצות הברית, 192 אלף ברוסיה. על ידי מידע חברת RiskIQ כבר עברה לגרסה 4.92 מתוך 70% מהשרתים עם Exim.

מומלץ למנהלי מערכת להתקין בדחיפות עדכונים שהוכנו על ידי ערכות הפצה בשבוע שעבר (דביאן, אובונטו, openSUSE, Arch Linux, פדורה, EPEL עבור RHEL/CentOS). אם למערכת יש גרסה פגיעה של Exim (מ-4.87 עד 4.91 כולל), עליך לוודא שהמערכת לא כבר נפגעת על ידי בדיקת crontab לאיתור שיחות חשודות ולוודא שאין מפתחות נוספים ב-/root/. ספריית ssh. ניתן להצביע על התקפה גם על ידי נוכחות ביומן הפעילות של חומת האש של המארחים an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ו-an7kmd2wp4xo7hpr.onion.sh, המשמשים להורדת תוכנות זדוניות.

ניסיונות ראשונים לתקוף שרתי Exim תוקן ה-9 ביוני. עד הפיגוע ב-13 ביוני לקח מסה אופי. לאחר ניצול הפגיעות דרך שערים של tor2web, מורידים סקריפט מהשירות הנסתר של Tor (an7kmd2wp4xo7hpr) שבודק את נוכחותו של OpenSSH (אם לא סטים), משנה את ההגדרות שלו (מאפשר כניסה לשורש ואימות מפתח) ומגדיר את המשתמש ל-root מפתח RSA, המספק גישה מועדפת למערכת באמצעות SSH.

לאחר הגדרת הדלת האחורית, סורק יציאות מותקן במערכת כדי לזהות שרתים פגיעים אחרים. המערכת גם מחפשת מערכות כרייה קיימות, אשר נמחקות אם מזוהות. בשלב האחרון, כורה משלך מוריד ונרשם ב-crontab. הכורה מוריד במסווה של קובץ ico (למעשה זהו ארכיון zip עם הסיסמה "no-password"), המכיל קובץ הפעלה בפורמט ELF עבור לינוקס עם Glibc 2.7+.

מקור: OpenNet.ru