Истражувачи за безбедност на Сајберизон администраторите на серверите за пошта за откривање на масовен автоматизиран напад што експлоатира (CVE-2019-10149) во Exim, идентификуван минатата недела. За време на нападот, напаѓачите постигнуваат извршување на нивниот код како root и инсталираат малициозен софтвер на серверот за ископување криптовалути.
јуни уделот на Exim е 57.05% (пред една година 56.56%), Postfix се користи на 34.52% (33.79%) од серверите за пошта, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Од страна на од услугата Shodan, повеќе од 3.6 милиони сервери за пошта во глобалната мрежа остануваат потенцијално ранливи, кои не се ажурирани на најновото тековно издание на Exim 4.92. Околу 2 милиони потенцијално ранливи сервери се наоѓаат во САД, 192 илјади во Русија. Од страна на RiskIQ веќе има надградено 4.92% од Exim серверите на верзијата 70.
Администраторите се советуваат итно да инсталираат ажурирања што беа подготвени од дистрибуциите минатата недела (, , , , , ). Ако системот има ранлива верзија на Exim (од 4.87 до 4.91 вклучително), треба да се уверите дека системот не е веќе компромитиран со проверка на crontab за сомнителни повици и да се уверите дека нема дополнителни клучеви во /root/. ssh директориум. Напад може да се означи и со присуството во дневникот на активности на заштитниот ѕид од домаќините an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, кои се користат за време на процесот на преземање малициозен софтвер.
Први напади на Exim серверите 9-ти јуни. До нападот на 13 јуни карактер. По искористување на ранливоста преку tor2web gateways, се вчитува скрипта од скриената услуга Tor (an7kmd2wp4xo7hpr) која проверува за присуство на OpenSSH (ако не ), ги менува неговите поставки ( root најавување и автентикација на клучот) и го поставува root корисникот на А што дава привилегиран пристап до системот преку SSH.
По поставувањето задна врата, во системот е инсталиран скенер за порти за да се идентификуваат другите ранливи сервери. Исто така, го пребарува системот за постоечки системи за рударство, кои се бришат доколку се откријат. Во последната фаза, вашиот сопствен рудар е вчитан и регистриран во crontab. Рударот се презема под маската на ico-датотека (всушност, тоа е зип-архива со лозинка „без лозинка“), која пакува извршна датотека во формат ELF за Linux со Glibc 2.7+.
Извор: opennet.ru