Cybereason ನಿಂದ ಭದ್ರತಾ ಸಂಶೋಧಕರು ಮೇಲ್ ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ಬೃಹತ್ ಸ್ವಯಂಚಾಲಿತ ದಾಳಿಯನ್ನು ಗುರುತಿಸುವ ಬಗ್ಗೆ (CVE-2019-10149) Exim ನಲ್ಲಿ, ಕಳೆದ ವಾರ ಪತ್ತೆಯಾಯಿತು. ದಾಳಿಯ ಸಮಯದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ ತಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಾಧಿಸುತ್ತಾರೆ ಮತ್ತು ಮೈನಿಂಗ್ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳಿಗಾಗಿ ಸರ್ವರ್ನಲ್ಲಿ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆ.
ಜೂನ್ ಪ್ರಕಾರ Exim ನ ಪಾಲು 57.05% (ಒಂದು ವರ್ಷದ ಹಿಂದೆ 56.56%), ಪೋಸ್ಟ್ಫಿಕ್ಸ್ ಅನ್ನು 34.52% (33.79%) ಮೇಲ್ ಸರ್ವರ್ಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ, ಸೆಂಡ್ಮೇಲ್ - 4.05% (4.59%), ಮೈಕ್ರೋಸಾಫ್ಟ್ ಎಕ್ಸ್ಚೇಂಜ್ - 0.57% (0.85%). ಮೂಲಕ ಜಾಗತಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿನ 3.6 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಮೇಲ್ ಸರ್ವರ್ಗಳಿಗೆ ಶೋಡಾನ್ ಸೇವೆಯು ಸಂಭಾವ್ಯವಾಗಿ ದುರ್ಬಲವಾಗಿರುತ್ತದೆ, ಅವುಗಳನ್ನು ಇತ್ತೀಚಿನ ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಯಾದ Exim 4.92 ಗೆ ನವೀಕರಿಸಲಾಗಿಲ್ಲ. ಸುಮಾರು 2 ಮಿಲಿಯನ್ ಸಂಭಾವ್ಯ ದುರ್ಬಲ ಸರ್ವರ್ಗಳು ಯುನೈಟೆಡ್ ಸ್ಟೇಟ್ಸ್ನಲ್ಲಿವೆ, ರಷ್ಯಾದಲ್ಲಿ 192 ಸಾವಿರ. ಮೂಲಕ RiskIQ ಕಂಪನಿಯು ಈಗಾಗಲೇ Exim ನೊಂದಿಗೆ 4.92% ಸರ್ವರ್ಗಳ ಆವೃತ್ತಿ 70 ಗೆ ಬದಲಾಯಿಸಿದೆ.
ಕಳೆದ ವಾರ ವಿತರಣಾ ಕಿಟ್ಗಳಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ನವೀಕರಣಗಳನ್ನು ತುರ್ತಾಗಿ ಸ್ಥಾಪಿಸಲು ನಿರ್ವಾಹಕರಿಗೆ ಸೂಚಿಸಲಾಗಿದೆ (, , , , , ) ಸಿಸ್ಟಮ್ ಎಕ್ಸಿಮ್ನ ದುರ್ಬಲ ಆವೃತ್ತಿಯನ್ನು ಹೊಂದಿದ್ದರೆ (4.87 ರಿಂದ 4.91 ಒಳಗೊಂಡಂತೆ), ಅನುಮಾನಾಸ್ಪದ ಕರೆಗಳಿಗಾಗಿ crontab ಅನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಮತ್ತು /root/ ನಲ್ಲಿ ಯಾವುದೇ ಹೆಚ್ಚುವರಿ ಕೀಗಳಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುವ ಮೂಲಕ ಸಿಸ್ಟಮ್ ಈಗಾಗಲೇ ರಾಜಿ ಮಾಡಿಕೊಂಡಿಲ್ಲ ಎಂದು ನೀವು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಬೇಕು. ssh ಡೈರೆಕ್ಟರಿ. ಮಾಲ್ವೇರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಬಳಸಲಾಗುವ an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ಮತ್ತು an7kmd2wp4xo7hpr.onion.sh. ನಿಂದ ಚಟುವಟಿಕೆಯ ಫೈರ್ವಾಲ್ ಲಾಗ್ನಲ್ಲಿನ ಉಪಸ್ಥಿತಿಯಿಂದ ಆಕ್ರಮಣವನ್ನು ಸೂಚಿಸಬಹುದು.
ಎಕ್ಸಿಮ್ ಸರ್ವರ್ಗಳ ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ಮೊದಲ ಪ್ರಯತ್ನಗಳು ಜೂನ್ 9. ಜೂನ್ 13 ರಂದು ದಾಳಿ ಪಾತ್ರ. tor2web ಗೇಟ್ವೇಗಳ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಂಡ ನಂತರ, OpenSSH (ಇಲ್ಲದಿದ್ದರೆ) ಇರುವಿಕೆಯನ್ನು ಪರಿಶೀಲಿಸುವ Tor ಗುಪ್ತ ಸೇವೆಯಿಂದ (an7kmd2wp4xo7hpr) ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ), ಅದರ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ ( ರೂಟ್ ಲಾಗಿನ್ ಮತ್ತು ಕೀ ದೃಢೀಕರಣ) ಮತ್ತು ಬಳಕೆದಾರರನ್ನು ರೂಟ್ಗೆ ಹೊಂದಿಸುತ್ತದೆ , ಇದು SSH ಮೂಲಕ ಸಿಸ್ಟಮ್ಗೆ ವಿಶೇಷ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುತ್ತದೆ.
ಹಿಂಬಾಗಿಲನ್ನು ಹೊಂದಿಸಿದ ನಂತರ, ಇತರ ದುರ್ಬಲ ಸರ್ವರ್ಗಳನ್ನು ಗುರುತಿಸಲು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಪೋರ್ಟ್ ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ. ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಗಣಿಗಾರಿಕೆ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ ಸಿಸ್ಟಮ್ ಅನ್ನು ಹುಡುಕಲಾಗುತ್ತದೆ, ಗುರುತಿಸಿದರೆ ಅದನ್ನು ಅಳಿಸಲಾಗುತ್ತದೆ. ಕೊನೆಯ ಹಂತದಲ್ಲಿ, ನಿಮ್ಮ ಸ್ವಂತ ಮೈನರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಕ್ರಾಂಟಾಬ್ನಲ್ಲಿ ನೋಂದಾಯಿಸಲಾಗಿದೆ. ಮೈನರ್ ಅನ್ನು ಐಕೊ ಫೈಲ್ನ ಸೋಗಿನಲ್ಲಿ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ (ವಾಸ್ತವವಾಗಿ ಇದು ಪಾಸ್ವರ್ಡ್ "ನೋ-ಪಾಸ್ವರ್ಡ್" ಹೊಂದಿರುವ ಜಿಪ್ ಆರ್ಕೈವ್ ಆಗಿದೆ), ಇದು ಗ್ಲಿಬ್ಕ್ 2.7+ ನೊಂದಿಗೆ ಲಿನಕ್ಸ್ಗಾಗಿ ELF ಸ್ವರೂಪದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ.
ಮೂಲ: opennet.ru