ការវាយប្រហារដ៏ធំនៅលើម៉ាស៊ីនមេអ៊ីមែលដែលមានមូលដ្ឋានលើ Exim ដែលងាយរងគ្រោះ

អ្នកស្រាវជ្រាវសន្តិសុខមកពី Cybereason បានព្រមាន ផ្ញើជូនអ្នកគ្រប់គ្រងម៉ាស៊ីនមេ អំពីការកំណត់អត្តសញ្ញាណការវាយប្រហារដោយស្វ័យប្រវត្តិដ៏ធំដែលកេងប្រវ័ញ្ច ភាពងាយរងគ្រោះសំខាន់ (CVE-2019-10149) នៅក្នុង Exim បានរកឃើញកាលពីសប្តាហ៍មុន។ ក្នុងអំឡុងពេលនៃការវាយប្រហារ អ្នកវាយប្រហារសម្រេចបាននូវការប្រតិបត្តិនៃកូដរបស់ពួកគេជាមួយនឹងសិទ្ធិជា root និងដំឡើងមេរោគនៅលើម៉ាស៊ីនមេសម្រាប់ការជីកយករ៉ែ cryptocurrencies ។

នេះ​បើ​តាម​ខែ​មិថុនា ការស្ទង់មតិដោយស្វ័យប្រវត្តិ ចំណែករបស់ Exim គឺ 57.05% (មួយឆ្នាំមុន 56.56%), Postfix ត្រូវបានប្រើនៅលើ 34.52% (33.79%) នៃម៉ាស៊ីនមេសំបុត្រ, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%) ។ ដោយ ដែលបានផ្តល់ឱ្យ សេវាកម្ម Shodan នៅតែមានសក្តានុពលងាយរងគ្រោះចំពោះម៉ាស៊ីនមេសំបុត្រជាង 3.6 លាននៅលើបណ្តាញសកលដែលមិនត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅការចេញផ្សាយចុងក្រោយបំផុតនៃ Exim 4.92 ។ ប្រហែល 2 លានម៉ាស៊ីនមេដែលងាយរងគ្រោះមានទីតាំងនៅក្នុងសហរដ្ឋអាមេរិក 192 ពាន់នៅក្នុងប្រទេសរុស្ស៊ី។ ដោយ ព ក្រុមហ៊ុន RiskIQ បានប្តូរទៅកំណែ 4.92 នៃ 70% នៃម៉ាស៊ីនមេជាមួយ Exim រួចហើយ។

អ្នកគ្រប់គ្រងត្រូវបានណែនាំឱ្យដំឡើងជាបន្ទាន់នូវបច្ចុប្បន្នភាពដែលត្រូវបានរៀបចំដោយឧបករណ៍ចែកចាយកាលពីសប្តាហ៍មុន (ដេបៀន, គូប៊ុនទូ, អូផឹនស៊ូស៊ី, Arch លីនុច, Fedora, EPEL សម្រាប់ RHEL/CentOS) ប្រសិនបើប្រព័ន្ធមានកំណែដែលងាយរងគ្រោះនៃ Exim (ពី 4.87 ដល់ 4.91 រួមបញ្ចូល) អ្នកត្រូវប្រាកដថាប្រព័ន្ធមិនត្រូវបានសម្របសម្រួលរួចហើយដោយពិនិត្យមើល crontab សម្រាប់ការហៅទូរសព្ទដែលគួរឱ្យសង្ស័យ ហើយត្រូវប្រាកដថាមិនមានសោបន្ថែមនៅក្នុង /root/ ។ ថត ssh ។ ការវាយប្រហារក៏អាចត្រូវបានបង្ហាញដោយវត្តមាននៅក្នុងកំណត់ហេតុនៃសកម្មភាពជញ្ជាំងភ្លើងពីម៉ាស៊ីន an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io និង an7kmd2wp4xo7hpr.onion.sh ដែលត្រូវបានប្រើដើម្បីទាញយកមេរោគ។

ការប៉ុនប៉ងដំបូងដើម្បីវាយប្រហារម៉ាស៊ីនមេ Exim បានកត់ត្រាទុក ថ្ងៃទី 9 ខែមិថុនា។ ដោយការវាយប្រហារថ្ងៃទី 13 ខែមិថុនា បានទទួលយក។ ម៉ាស តួអក្សរ។ បន្ទាប់ពីទាញយកភាពងាយរងគ្រោះតាមរយៈ tor2web gateways ស្គ្រីបមួយត្រូវបានទាញយកពីសេវាកម្មលាក់ Tor (an7kmd2wp4xo7hpr) ដែលពិនិត្យរកមើលវត្តមានរបស់ OpenSSH (ប្រសិនបើមិនមាន សំណុំ), ផ្លាស់ប្តូរការកំណត់របស់វា (អនុញ្ញាត ការចូលជា root និងការផ្ទៀងផ្ទាត់សោ) ហើយកំណត់អ្នកប្រើប្រាស់ទៅជា root គ្រាប់ចុច RSAដែលផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធតាមរយៈ SSH ។

បន្ទាប់ពីដំឡើង backdoor ម៉ាស៊ីនស្កេនច្រកត្រូវបានដំឡើងនៅលើប្រព័ន្ធដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេដែលងាយរងគ្រោះផ្សេងទៀត។ ប្រព័ន្ធនេះក៏ត្រូវបានស្វែងរកផងដែរសម្រាប់ប្រព័ន្ធរុករករ៉ែដែលមានស្រាប់ ដែលត្រូវបានលុបប្រសិនបើកំណត់អត្តសញ្ញាណ។ នៅដំណាក់កាលចុងក្រោយ អ្នករុករករ៉ែផ្ទាល់ខ្លួនរបស់អ្នកត្រូវបានទាញយក និងចុះឈ្មោះក្នុង crontab ។ អ្នករុករករ៉ែត្រូវបានទាញយកក្រោមការក្លែងបន្លំនៃឯកសារ ico (តាមពិតវាគឺជាឯកសារ zip ដែលមានពាក្យសម្ងាត់ "no-password") ដែលមានឯកសារដែលអាចប្រតិបត្តិបានក្នុងទម្រង់ ELF សម្រាប់ Linux ជាមួយ Glibc 2.7+។

ប្រភព: opennet.ru