Cybereason のセキュリティ研究者 メール サーバー管理者、これを悪用した大規模な自動攻撃の特定について (CVE-2019-10149) は Exim で先週発見されました。 攻撃中、攻撃者はルート権限でコードを実行し、暗号通貨をマイニングするためにサーバーにマルウェアをインストールします。
XNUMX月の報道によると、 Eximのシェアは57.05%(56.56年前は34.52%)、Postfixはメールサーバーの33.79%(4.05%)、Sendmail - 4.59%(0.57%)、Microsoft Exchange - 0.85%(XNUMX%)で使用されています。 による Shodan サービスは、Exim 3.6 の最新リリースに更新されていない、グローバル ネットワーク上の 4.92 万台を超えるメール サーバーに対して潜在的に脆弱なままです。 潜在的に脆弱なサーバーは米国に約 2 万台、ロシアに 192 万 XNUMX 台あります。 による RiskIQ 社は、Exim を使用するサーバーの 4.92% をすでにバージョン 70 に切り替えています。
管理者は、先週配布キットによって準備された更新プログラムを緊急にインストールすることをお勧めします (, , , , , )。 システムに脆弱なバージョンの Exim (4.87 から 4.91 を含む) がインストールされている場合は、crontab で不審な呼び出しがないかチェックし、/root/ に追加のキーがないことを確認して、システムがすでに侵害されていないことを確認する必要があります。 ssh ディレクトリ。 攻撃は、マルウェアのダウンロードに使用されるホスト an7kmd2wp4xo7hpr.tor2web.su、an7kmd2wp4xo7hpr.tor2web.io、および an7kmd2wp4xo7hpr.onion.sh からのアクティビティがファイアウォール ログに存在することによっても示される場合があります。
Eximサーバーへの最初の攻撃を試みる 9月13日。 XNUMX月XNUMX日の攻撃までに キャラクター。 tor2web ゲートウェイを介して脆弱性を悪用した後、OpenSSH の存在をチェックするスクリプトが Tor 隠しサービス (an7kmd2wp4xo7hpr) からダウンロードされます (存在しない場合)。 )、設定を変更します( root ログインとキー認証)、ユーザーを root に設定します 、SSH 経由でシステムへの特権アクセスを提供します。
バックドアを設定した後、他の脆弱なサーバーを識別するためにポート スキャナーがシステムにインストールされます。 システムでは既存のマイニング システムも検索され、特定された場合は削除されます。 最後の段階で、独自のマイナーがダウンロードされ、crontab に登録されます。 マイナーは ico ファイルを装ってダウンロードされます (実際には、パスワードが「no-password」の zip アーカイブです)。このファイルには、Glibc 2.7+ を搭載した Linux 用の ELF 形式の実行可能ファイルが含まれています。
出所: オープンネット.ru