Cybereason Sécherheet Fuerscher Administrateuren vun Mail Serveren iwwer d'Detectioun vun engem massive automatiséiert Attack datt ausnotzen (CVE-2019-10149) zu Exim, lescht Woch identifizéiert. Wärend der Attack erreechen d'Ugräifer d'Ausféierung vun hirem Code als Root an installéiere Malware um Server fir d'Krypto-Währungen ze minen.
Juni den Undeel vun Exim ass 57.05% (virun engem Joer 56.56%), Postfix gëtt op 34.52% (33.79%) vun Mailserveren benotzt, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Vun vum Shodan Service, méi wéi 3.6 Millioune Mail Serveren am globalen Netzwierk bleiwen potenziell vulnérabel, déi net op déi lescht aktuell Verëffentlechung vum Exim 4.92 aktualiséiert ginn. Ongeféier 2 Millioune potenziell vulnérabel Servere sinn an den USA, 192 Tausend a Russland. Vun RiskIQ huet scho 4.92% vun Exim Serveren op Versioun 70 aktualiséiert.
Administrateure ginn ugeroden dréngend Updates z'installéieren, déi d'lescht Woch vun Distributiounen virbereet goufen (, , , , , ). Wann de System eng vulnérabel Versioun vun Exim huet (vu 4.87 bis 4.91 inklusiv), musst Dir sécher sinn datt de System net scho kompromittéiert ass andeems Dir crontab fir verdächteg Uriff iwwerpréift a gitt sécher datt et keng zousätzlech Schlësselen am /root/ sinn. ssh Verzeechnes. En Attack kann och duerch d'Präsenz am Firewall Log vun Aktivitéit vun den Hosten an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io an an7kmd2wp4xo7hpr.onion.sh uginn ginn, déi während dem Malware Downloadprozess benotzt ginn.
Éischt Attacken op Exim Serveren den 9. Juni. Vum 13. Juni Attack Charakter. No der Ausbeutung vun der Schwachstelle duerch tor2web Gateways gëtt e Skript vum Tor hidden Service (an7kmd2wp4xo7hpr) gelueden, deen op d'Präsenz vun OpenSSH kontrolléiert (wann net ), ännert seng Astellungen ( root Login a Schlëssel Authentifikatioun) a setzt de Root Benotzer op A déi privilegiéierten Zougang zum System iwwer SSH gëtt.
Nodeems Dir eng Backdoor opgeriicht hutt, gëtt e Port Scanner am System installéiert fir aner vulnérabel Serveren z'identifizéieren. Et sicht och de System fir bestehend Biergbau Systemer, déi geläscht ginn wann entdeckt. Op der leschter Etapp gëtt Ären eegene Miner gelueden an a Crontab registréiert. De Miner gëtt ënner dem Deckmantel vun enger ico-Datei erofgelueden (tatsächlech ass et en Zip-Archiv mat engem "no-Passwuert" Passwuert), deen eng ausführbar Datei am ELF-Format fir Linux mat Glibc 2.7+ packt.
Source: opennet.ru