Cybereason қауіпсіздік зерттеушілері пошта серверінің әкімшілері жаппай автоматтандырылған шабуылды анықтау туралы (CVE-2019-10149) Exim ішінде өткен аптада табылды. Шабуыл кезінде шабуылдаушылар өздерінің кодтарын түбірлік құқықтарымен орындауға қол жеткізеді және криптовалюталарды өндіруге арналған серверде зиянды бағдарламаны орнатады.
Маусым айына сәйкес Exim үлесі 57.05% (бір жыл бұрын 56.56%), Postfix пошта серверлерінің 34.52% (33.79%), Sendmail – 4.05% (4.59%), Microsoft Exchange – 0.57% (0.85%) пайдаланылады. Авторы Shodan қызметі Exim 3.6 соңғы нұсқасына жаңартылмаған жаһандық желідегі 4.92 миллионнан астам пошта серверлеріне әлеуетті түрде осал болып қала береді. 2 миллионға жуық ықтимал осал серверлер АҚШ-та, 192 мыңы Ресейде орналасқан. Авторы RiskIQ компаниясы қазірдің өзінде Exim серверлерінің 4.92% 70 нұсқасына ауысты.
Әкімшілерге өткен аптада тарату жинақтары дайындаған жаңартуларды шұғыл орнату ұсынылады (, , , , , ). Жүйеде Exim бағдарламасының осал нұсқасы болса (4.87-ден 4.91 қоса алғанда), crontab бағдарламасында күдікті қоңыраулар бар-жоғын тексеру және /root/ жүйесінде қосымша кілттердің жоқтығына көз жеткізу арқылы жүйенің бұзылмағанына көз жеткізу керек. ssh каталогы. Сондай-ақ, шабуылды брандмауэр журналында зиянды бағдарламаны жүктеп алу үшін пайдаланылатын an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io және an7kmd2wp4xo7hpr.onion.sh хосттарының болуымен де көрсетуге болады.
Exim серверлеріне шабуыл жасаудың бірінші әрекеттері 9 маусым. 13 маусымда шабуыл кейіпкер. tor2web шлюздері арқылы осалдықты пайдаланғаннан кейін OpenSSH бар-жоғын тексеретін Tor жасырын қызметінен (an7kmd2wp4xo7hpr) сценарий жүктеледі (егер жоқ болса). ), оның параметрлерін өзгертеді ( түбірлік логин және кілт аутентификациясы) және пайдаланушыны root күйіне орнатады , ол жүйеге SSH арқылы артықшылықты қол жеткізуді қамтамасыз етеді.
Бэкдорды орнатқаннан кейін басқа осал серверлерді анықтау үшін жүйеде порт сканері орнатылады. Жүйе, сондай-ақ анықталған жағдайда жойылатын қолданыстағы тау-кен жүйелерін іздейді. Соңғы кезеңде өзіңіздің шахтеріңіз жүктеліп, crontab-да тіркеледі. Шахтер Glibc 2.7+ бар Linux үшін ELF пішіміндегі орындалатын файлды қамтитын ico файлының астында жүктеледі (шын мәнінде бұл «құпия сөз жоқ» құпия сөзі бар zip мұрағаты).
Ақпарат көзі: opennet.ru