Penyelidik Keselamatan Cybereason pentadbir pelayan mel tentang pengesanan serangan automatik besar-besaran yang mengeksploitasi (CVE-2019-10149) dalam Exim, dikenal pasti minggu lepas. Semasa serangan, penyerang mencapai pelaksanaan kod mereka sebagai root dan memasang perisian hasad pada pelayan untuk perlombongan mata wang kripto.
Jun bahagian Exim ialah 57.05% (setahun lalu 56.56%), Postfix digunakan pada 34.52% (33.79%) pelayan mel, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Oleh daripada perkhidmatan Shodan, lebih daripada 3.6 juta pelayan mel dalam rangkaian global kekal berpotensi terdedah, yang tidak dikemas kini kepada keluaran terkini Exim 4.92. Kira-kira 2 juta pelayan yang berpotensi terdedah terletak di AS, 192 ribu di Rusia. Oleh RiskIQ telah pun menaik taraf 4.92% pelayan Exim kepada versi 70.
Pentadbir dinasihatkan untuk memasang segera kemas kini yang telah disediakan oleh pengedaran minggu lepas (, , , , , ). Jika sistem mempunyai versi Exim yang terdedah (daripada 4.87 hingga 4.91 inklusif), anda perlu memastikan bahawa sistem itu belum terjejas dengan menyemak crontab untuk panggilan yang mencurigakan dan pastikan tiada kekunci tambahan dalam /root/. direktori ssh. Serangan juga boleh ditunjukkan dengan kehadiran dalam log aktiviti firewall daripada hos an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io dan an7kmd2wp4xo7hpr.onion.sh, yang digunakan semasa proses muat turun perisian hasad.
Serangan pertama pada pelayan Exim 9 Jun. Menjelang 13 Jun serangan watak. Selepas mengeksploitasi kelemahan melalui gerbang tor2web, skrip dimuatkan daripada perkhidmatan tersembunyi Tor (an7kmd2wp4xo7hpr) yang menyemak kehadiran OpenSSH (jika tidak ), menukar tetapannya ( log masuk akar dan pengesahan kunci) dan menetapkan pengguna akar kepada A yang memberikan akses istimewa kepada sistem melalui SSH.
Selepas menyediakan pintu belakang, pengimbas port dipasang dalam sistem untuk mengenal pasti pelayan lain yang terdedah. Ia juga mencari sistem untuk sistem perlombongan sedia ada, yang dipadamkan jika dikesan. Pada peringkat terakhir, pelombong anda sendiri dimuatkan dan didaftarkan dalam crontab. Penambang dimuat turun di bawah samaran fail ico (sebenarnya, ia adalah arkib zip dengan kata laluan "tanpa kata laluan"), yang memuatkan fail boleh laku dalam format ELF untuk Linux dengan Glibc 2.7+.
Sumber: opennet.ru