Cybereason коопсуздук изилдөөчүлөрү почта серверинин администраторлору массалык автоматташтырылган чабуулду эксплуатациялоо жөнүндө (CVE-2019-10149) Eximде өткөн аптада табылган. Чабуул учурунда чабуулчулар өз кодунун тамыр укуктары менен аткарылышына жетишишет жана криптовалюталарды иштетүү үчүн серверге зыяндуу программаларды орнотушат.
Июнь айынын маалыматы боюнча Exim үлүшү 57.05% (бир жыл мурун 56.56%), Postfix почта серверлеринин 34.52% (33.79%), Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%) колдонулат. By Shodan кызматы глобалдык тармактагы Exim 3.6 акыркы релизине жаңыртыла элек 4.92 миллиондон ашык почта серверлерине карата аялуу бойдон калууда. 2 миллионго жакын потенциалдуу аялуу серверлер АКШда, 192 миңи Орусияда жайгашкан. By RiskIQ компаниясы буга чейин Exim менен серверлердин 4.92% 70 версиясына өткөн.
Администраторлорго өткөн аптада бөлүштүрүү комплекттери тарабынан даярдалган жаңыртууларды тез арада орнотуу сунушталат (, , , , , ). Эгерде тутумда Eximдин аялуу версиясы бар болсо (4.87ден 4.91ге чейин), сиз crontabда шектүү чалууларды текшерип, /root/ ичинде кошумча ачкычтар жок экенин текшерип, системанын бузулбаганына ынанышыңыз керек. ssh каталогу. Чабуул ошондой эле брандмауэрде кесепеттүү программаны жүктөп алуу үчүн колдонулган an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io жана an7kmd2wp4xo7hpr.onion.sh хостторунун аракеттеринин журналында болушу менен да көрсөтүлүшү мүмкүн.
Exim серверлерине чабуул жасоонун биринчи аракеттери 9-июнь. 13-июнда кол салуу мүнөз. tor2web шлюздары аркылуу кемчиликти пайдалангандан кийин, OpenSSH бар экендигин текшерген скрипт Tor жашыруун кызматынан (an7kmd2wp4xo7hpr) жүктөлүп алынат (эгерде андай болбосо). ), анын жөндөөлөрүн өзгөртөт ( тамыр кирүү жана ачкычтын аутентификациясы) жана колдонуучуну тамырга орнотот , бул SSH аркылуу системага артыкчылыктуу кирүү мүмкүнчүлүгүн камсыз кылат.
Бэк эшикти орноткондон кийин, башка аялуу серверлерди аныктоо үчүн системага порт сканери орнотулат. Система, ошондой эле аныкталган болсо, жок кылынган учурдагы тоо-кен системалары үчүн изделет. Акыркы этапта, сиздин шахтериңиз жүктөлүп алынып, crontabда катталат. Miner Glibc 2.7+ менен Linux үчүн ELF форматындагы аткарылуучу файлды камтыган ico файлынын (чындыгында бул сырсөз "жок-пароль" менен zip архиви) астында жүктөлүп алынат.
Source: opennet.ru