ProHoster > Blog > nûçeyên înternetê > Êrîşek girseyî li ser serverên nameyê yên xedar ên Exim-ê

Êrîşek girseyî li ser serverên nameyê yên xedar ên Exim-ê

Lêkolînerên ewlehiyê ji Cybereason hişyar kir Rêvebirên servera nameyê di derbarê naskirina îstismarek êrişek xweser a girseyî de lawazbûna krîtîk (CVE-2019-10149) li Exim, hefteya borî hate keşif kirin. Di dema êrîşê de, êrîşkar bi mafên root re îdamkirina koda xwe bi dest dixin û ji bo derxistina pereyên krîptoyê malware li ser serverê saz dikin.

Li gorî meha Hezîranê anketa automated Parçeya Exim% 57.05 e (salek berê 56.56%), Postfix li ser 34.52% (33.79%) serverên nameyê tê bikar anîn, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Ji dayîn Karûbarê Shodan bi potansiyel ji zêdetirî 3.6 mîlyon serverên nameyê yên li ser tora gerdûnî ya ku ji nûvedana heyî ya herî dawî ya Exim 4.92-ê nehatine nûve kirin, xeternak dimîne. Nêzîkî 2 mîlyon serverên potansiyel xeternak li Dewletên Yekbûyî, 192 hezar li Rûsyayê ne. Ji agahî Pargîdaniya RiskIQ berê xwe daye guhertoya 4.92 ya ji% 70 serverên bi Exim re.

Êrîşek girseyî li ser serverên nameyê yên xedar ên Exim-ê

Ji rêvebiran tê şîret kirin ku bilez nûvekirinên ku hefteya borî ji hêla kîtên belavkirinê ve hatine amadekirin saz bikin (Debian, Ubuntu, OpenSUSE, Arch Linux, Fedora, EPEL ji bo RHEL / CentOS). Ger pergalê guhertoyek xedar a Exim-ê heye (ji 4.87 heya 4.91-ê tevde), hûn hewce ne ku pê ewle bin ku pergal jixwe tawîz nedaye bi kontrolkirina crontab ji bo bangên gumanbar û piştrast bikin ku di /root/ de kilîdên din tune. pelrêça ssh. Di heman demê de êrîşek dikare bi hebûna di têketina çalakiya dîwarê agir de ji mêvandarên an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io û an7kmd2wp4xo7hpr.onion.sh, ku ji bo dakêşana malware têne bikar anîn, were destnîşan kirin.

Yekem hewildanên êrîşa ser serverên Exim tomar kirin 9ê Hezîranê. Bi êrîşa 13’ê Hezîranê re pejirandiye gel şexsîyet. Piştî îstismarkirina qelsiyê bi navgîniya dergehên tor2web, skrîptek ji karûbarê veşartî ya Tor (an7kmd2wp4xo7hpr) tê dakêşandin ku hebûna OpenSSH kontrol dike (heke nebe set dike), mîhengên xwe diguherîne (destûrê dide têketina root û rastkirina mifteyê) û bikarhêner li ser root saz dike key RSA, ku bi riya SSH ve gihîştina îmtiyazê dide pergalê.

Piştî sazkirina paşîn, skanerek portê li ser pergalê tê saz kirin da ku serverên din ên xedar nas bike. Pergal ji bo pergalên madenê yên heyî jî tê gerandin, ku ger werin nasîn têne jêbirin. Di qonaxa paşîn de, minera xweya xwe di crontab de tê dakêşandin û tomar kirin. Miner di bin navê pelê ico-yê de tê dakêşandin (bi rastî ew arşîvek zip e bi şîfreya "bê-şîfre"), ku pelek îcrakar di formata ELF-ê de ji bo Linux bi Glibc 2.7+ heye.

Source: opennet.ru

Add a comment