Kibernetinių priežasčių saugumo tyrinėtojai pašto serverių administratoriams apie aptiktą masinę automatizuotą ataką, kuri išnaudoja (CVE-2019-10149) Exim, nustatyta praėjusią savaitę. Atakos metu užpuolikai pasiekia savo kodo vykdymą kaip root ir serveryje įdiegia kenkėjiškas programas, skirtas kriptovaliutų gavybai.
birželis „Exim“ dalis sudaro 57.05% (prieš metus 56.56%), „Postfix“ naudojama 34.52% (33.79%) pašto serverių, „Sendmail“ - 4.05% (4.59%), „Microsoft Exchange“ - 0.57% (0.85%). Autorius „Shodan“ paslaugos, daugiau nei 3.6 mln. pašto serverių pasauliniame tinkle išlieka potencialiai pažeidžiami, kurie nėra atnaujinti iki naujausios dabartinės „Exim 4.92“ versijos. Apie 2 milijonai potencialiai pažeidžiamų serverių yra JAV, 192 tūkstančiai Rusijoje. Autorius RiskIQ jau atnaujino 4.92% Exim serverių į 70 versiją.
Administratoriams patariama skubiai įdiegti naujinimus, kurie buvo paruošti platintojų praėjusią savaitę (, , , , , ). Jei sistemoje yra pažeidžiama Exim versija (nuo 4.87 iki 4.91 imtinai), turite įsitikinti, kad sistema dar nėra pažeista, patikrindami crontab, ar nėra įtartinų skambučių, ir įsitikinkite, kad /root/ nėra papildomų raktų. ssh katalogą. Ataką taip pat gali rodyti tai, kad ugniasienės žurnale yra prieglobos an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ir an7kmd2wp4xo7hpr.onion.sh veiklos, kurios naudojamos kenkėjiškos programos atsisiuntimo procese.
Pirmosios atakos prieš „Exim“ serverius birželio 9 d. Iki birželio 13 d charakteris. Išnaudojus pažeidžiamumą per tor2web šliuzus, iš paslėptos Tor paslaugos (an7kmd2wp4xo7hpr) įkeliamas scenarijus, kuris patikrina, ar nėra OpenSSH (jei ne ), pakeičia savo nustatymus ( root prisijungimas ir rakto autentifikavimas) ir nustato pagrindinį vartotoją į A, kuri suteikia privilegijuotą prieigą prie sistemos per SSH.
Nustačius užpakalines duris, sistemoje įdiegiamas prievadų skaitytuvas, kuris identifikuoja kitus pažeidžiamus serverius. Ji taip pat ieško sistemoje esamų kasybos sistemų, kurios ištrinamos, jei jos aptinkamos. Paskutiniame etape jūsų miner įkeliamas ir užregistruojamas crontab. Miner atsisiunčiamas naudojant ico failą (iš tikrųjų tai yra ZIP archyvas su slaptažodžiu be slaptažodžio), kuriame yra ELF formato vykdomasis failas, skirtas Linux su Glibc 2.7+.
Šaltinis: opennet.ru