취약한 Exim 기반 메일 서버에 대한 대규모 공격

Cybereason의 보안 연구원 경고 한 메일 서버 관리자에게 악용하는 대규모 자동 공격 식별에 대해 설명합니다. 심각한 취약점 지난 주에 발견된 Exim의 (CVE-2019-10149)입니다. 공격 중에 공격자는 루트 권한으로 코드를 실행하고 암호화폐 채굴을 위해 서버에 악성 코드를 설치합니다.

XNUMX월에 따르면 자동 설문조사 Exim의 점유율은 57.05%(56.56년 전 34.52%), Postfix는 33.79%(4.05%)의 메일 서버에서 사용되며 Sendmail은 4.59%(0.57%), Microsoft Exchange는 0.85%(XNUMX%)입니다. 에 의해 에 따르면 Shodan 서비스는 Exim 3.6의 최신 릴리스로 업데이트되지 않은 글로벌 네트워크의 4.92만 개 이상의 메일 서버에 잠재적으로 취약한 상태로 남아 있습니다. 잠재적으로 취약한 서버는 미국에 약 2만 대, 러시아에 192만 XNUMX천 대에 달합니다. 에 의해 정보 RiskIQ 회사는 이미 Exim이 설치된 서버의 4.92%를 버전 70로 전환했습니다.

관리자들은 지난주 배포 키트로 준비한 업데이트를 긴급하게 설치하는 것이 좋습니다(데비안, Ubuntu, 오픈 수세, 아치 리눅스, 페도라, RHEL/CentOS용 EPEL). 시스템에 취약한 Exim 버전(4.87~4.91 포함)이 있는 경우 crontab에서 의심스러운 호출을 확인하고 /root/에 추가 키가 없는지 확인하여 시스템이 이미 손상되지 않았는지 확인해야 합니다. SSH 디렉토리. 악성 코드를 다운로드하는 데 사용되는 호스트 an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io 및 an7kmd2wp4xo7hpr.onion.sh의 활동이 방화벽 로그에 존재함으로써 공격이 나타날 수도 있습니다.

Exim 서버를 공격하려는 첫 번째 시도 녹음 9월 13일. XNUMX월 XNUMX일 공격까지 했다 거대한 성격. tor2web 게이트웨이를 통해 취약점을 악용한 후 Tor 숨겨진 서비스(an7kmd2wp4xo7hpr)에서 OpenSSH의 존재를 확인하는 스크립트가 다운로드됩니다(그렇지 않은 경우). 세트), 설정을 변경합니다(허용 루트 로그인 및 키 인증) 사용자를 루트로 설정합니다. RSA 키, SSH를 통해 시스템에 대한 권한 있는 액세스를 제공합니다.

백도어를 설정한 후 다른 취약한 서버를 식별하기 위해 시스템에 포트 스캐너가 설치됩니다. 시스템은 또한 기존 마이닝 시스템을 검색하며, 식별되면 삭제됩니다. 마지막 단계에서는 자신의 채굴기가 다운로드되어 crontab에 등록됩니다. 광부는 Glibc 2.7+가 설치된 Linux용 ELF 형식의 실행 파일이 포함된 ico 파일(실제로는 비밀번호가 "no-password"인 zip 아카이브)로 위장하여 다운로드됩니다.

출처 : opennet.ru