Riċerkaturi tas-sigurtà minn Cybereason amministraturi ta 'server tal-posta dwar l-identifikazzjoni ta' sfruttament ta 'attakk awtomatizzat massiv (CVE-2019-10149) f'Exim, skoperti l-ġimgħa li għaddiet. Matul l-attakk, l-attakkanti jiksbu l-eżekuzzjoni tal-kodiċi tagħhom bid-drittijiet tal-għeruq u jinstallaw malware fuq is-server għat-tħaffir tal-kripto-muniti.
Skond il-Ġunju Is-sehem ta 'Exim huwa 57.05% (sena ilu 56.56%), Postfix jintuża fuq 34.52% (33.79%) ta' servers tal-posta, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Permezz Is-servizz ta’ Shodan jibqa’ potenzjalment vulnerabbli għal aktar minn 3.6 miljun server tal-posta fuq in-netwerk globali li ma ġewx aġġornati għall-aħħar rilaxx attwali ta’ Exim 4.92. Madwar 2 miljun servers potenzjalment vulnerabbli jinsabu fl-Istati Uniti, 192 elf fir-Russja. Permezz Il-kumpanija RiskIQ diġà qalbet għall-verżjoni 4.92 ta '70% tas-servers b'Exim.
L-amministraturi huma avżati biex jinstallaw b'mod urġenti aġġornamenti li tħejjew minn kits ta' distribuzzjoni l-ġimgħa li għaddiet (, , , , , ). Jekk is-sistema għandha verżjoni vulnerabbli ta 'Exim (minn 4.87 sa 4.91 inklużi), trid tiżgura li s-sistema mhix diġà kompromessa billi tiċċekkja crontab għal sejħiet suspettużi u tiżgura li ma jkunx hemm ċwievet addizzjonali fil-/root/. direttorju ssh. Attakk jista 'jiġi indikat ukoll mill-preżenza fil-ġurnal tal-firewall ta' attività mill-hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io u an7kmd2wp4xo7hpr.onion.sh, li huma użati għat-tniżżil ta 'malware.
L-ewwel tentattivi biex jattakkaw servers Exim id-9 ta’ Ġunju. Sat-13 ta’ Ġunju attakk karattru. Wara li tisfrutta l-vulnerabbiltà permezz ta' gateways tor2web, titniżżel script mis-servizz moħbi Tor (an7kmd2wp4xo7hpr) li jiċċekkja l-preżenza ta' OpenSSH (jekk le ), jibdel is-settings tiegħu ( root login u awtentikazzjoni taċ-ċavetta) u tissettja lill-utent għal root , li jipprovdi aċċess privileġġjat għas-sistema permezz ta' SSH.
Wara li twaqqaf il-backdoor, jiġi installat skaner tal-port fuq is-sistema biex jidentifika servers vulnerabbli oħra. Is-sistema titfittex ukoll għal sistemi eżistenti tal-minjieri, li jitħassru jekk jiġu identifikati. Fl-aħħar stadju, il-minatur tiegħek stess jiġi mniżżel u rreġistrat fil-crontab. Il-minatur jitniżżel taħt l-iskuża ta 'fajl ico (fil-fatt huwa arkivju zip bil-password "no-password"), li fih fajl eżekutibbli f'format ELF għal Linux ma' Glibc 2.7+.
Sors: opennet.ru