Drošības pētnieki no Cybereason pasta serveru administratoriem par masveida automatizēta uzbrukuma izmantošanas identificēšanu (CVE-2019-10149) Exim, atklāts pagājušajā nedēļā. Uzbrukuma laikā uzbrucēji panāk sava koda izpildi ar root tiesībām un serverī instalē ļaunprogrammatūru kriptovalūtu ieguvei.
Saskaņā ar jūnijā Exim daļa ir 57.05% (pirms gada 56.56%), Postfix tiek izmantots 34.52% (33.79%) pasta serveru, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Autors Shodan pakalpojums joprojām ir potenciāli neaizsargāts pret vairāk nekā 3.6 miljoniem pasta serveru globālajā tīklā, kas nav atjaunināti uz jaunāko pašreizējo Exim 4.92 versiju. Aptuveni 2 miljoni potenciāli ievainojamu serveru atrodas ASV, 192 tūkstoši Krievijā. Autors Uzņēmums RiskIQ jau ir pārgājis uz 4.92 versiju 70% serveru ar Exim.
Administratoriem ieteicams steidzami instalēt atjauninājumus, kurus pagājušajā nedēļā sagatavoja izplatīšanas komplekti (, , , , , ). Ja sistēmai ir neaizsargāta Exim versija (no 4.87 līdz 4.91 ieskaitot), jums ir jāpārliecinās, vai sistēma jau nav apdraudēta, pārbaudot crontab, vai nav aizdomīgu zvanu, un pārliecinoties, ka mapē /root/ nav papildu atslēgu. ssh direktoriju. Par uzbrukumu var liecināt arī tas, ka ugunsmūra žurnālā ir veiktas darbības no saimniekiem an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io un an7kmd2wp4xo7hpr.onion.sh, kas tiek izmantoti ļaunprātīgas programmatūras lejupielādei.
Pirmie mēģinājumi uzbrukt Exim serveriem 9. jūnijs. Līdz 13. jūnija uzbrukumam raksturs. Pēc ievainojamības izmantošanas, izmantojot tor2web vārtejas, no Tor slēptā pakalpojuma (an7kmd2wp4xo7hpr) tiek lejupielādēts skripts, kas pārbauda OpenSSH klātbūtni (ja tā nav ), maina savus iestatījumus ( root pieteikšanās un atslēgas autentifikācija) un iestata lietotājam root , kas nodrošina priviliģētu piekļuvi sistēmai, izmantojot SSH.
Pēc aizmugures durvju iestatīšanas sistēmā tiek instalēts portu skeneris, lai identificētu citus neaizsargātos serverus. Sistēmā tiek meklētas arī esošās ieguves sistēmas, kuras tiek dzēstas, ja tās tiek identificētas. Pēdējā posmā jūsu kalnracis tiek lejupielādēts un reģistrēts crontab. Miner tiek lejupielādēts ico faila aizsegā (faktiski tas ir zip arhīvs ar paroli “bez paroles”), kurā ir izpildāms fails ELF formātā operētājsistēmai Linux ar Glibc 2.7+.
Avots: opennet.ru