Cybereason аюулгүй байдлын судлаачид мөлжлөгт автоматжуулсан асар том халдлагыг илрүүлэх талаар шуудангийн серверийн администраторууд (CVE-2019-10149) Exim-д өнгөрсөн долоо хоногт тодорхойлсон. Довтолгооны үеэр халдагчид өөрсдийн кодыг root хэлбэрээр гүйцэтгэж, криптовалют олборлох сервер дээр хортой програм суулгадаг.
Зургадугаар сар Exim-ийн эзлэх хувь 57.05% (жилийн өмнө 56.56%), Postfix нь мэйл серверүүдийн 34.52% (33.79%), Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%) дээр ашиглагддаг. By Shodan үйлчилгээний хамгийн сүүлийн үеийн Exim 3.6 хувилбарт шинэчлэгдээгүй дэлхийн сүлжээн дэх 4.92 сая гаруй шуудангийн серверүүд эмзэг хэвээр байна. Эмзэг байж болзошгүй 2 сая орчим сервер АНУ-д, 192 мянга нь Орост байрладаг. By RiskIQ аль хэдийн Exim серверүүдийн 4.92%-ийг 70 хувилбар болгон шинэчилсэн байна.
Өнгөрсөн долоо хоногт түгээлтийн дагуу бэлтгэсэн шинэчлэлтүүдийг яаралтай суулгахыг админуудад зөвлөж байна (, , , , , ). Хэрэв системд Exim-ийн эмзэг хувилбар (4.87-аас 4.91 хүртэл) байгаа бол сэжигтэй дуудлагыг crontab-д шалгаж, /root/-д нэмэлт түлхүүр байхгүй эсэхийг шалгах хэрэгтэй. ssh лавлах. Хортой програмыг татаж авах явцад ашигладаг an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io болон an7kmd2wp4xo7hpr.onion.sh хостуудын үйл ажиллагааны галт ханын бүртгэлд байгаа нь халдлагыг илтгэж болно.
Exim серверүүд рүү хийсэн анхны халдлага 9-р сарын 13. XNUMX-р сарын XNUMX гэхэд халдлага зан чанар. Tor2web гарцаар дамжуулан эмзэг байдлыг ашигласны дараа Tor далд үйлчилгээнээс (an7kmd2wp4xo7hpr) OpenSSH (хэрэв байхгүй бол) байгаа эсэхийг шалгадаг скриптийг ачаална. ), түүний тохиргоог өөрчлөх ( root нэвтрэлт ба түлхүүрийн баталгаажуулалт) ба root хэрэглэгчийг тохируулна SSH-ээр дамжуулан системд давуу эрх олгох A.
Арын хаалга тохируулсны дараа бусад эмзэг серверүүдийг тодорхойлохын тулд системд порт сканнер суурилуулсан. Мөн одоо байгаа уул уурхайн системийг системээс хайдаг бөгөөд илэрсэн тохиолдолд устгадаг. Сүүлийн шатанд өөрийн олборлогчийг ачаалж, crontab-д бүртгүүлнэ. Уурхайчийг Glibc 2.7+ бүхий Linux-д зориулсан ELF форматаар гүйцэтгэх боломжтой файлыг багтаасан ico файл (үнэндээ энэ нь "нууц үггүй" нууц үг бүхий зип архив юм) нэрийн дор татаж авдаг.
Эх сурвалж: opennet.ru