Beveiligingsonderzoekers van Cybereason mailserverbeheerders over het identificeren van een enorme geautomatiseerde aanval die misbruik maakt (CVE-2019-10149) in Exim, vorige week ontdekt. Tijdens de aanval bereiken aanvallers de uitvoering van hun code met rootrechten en installeren ze malware op de server voor het minen van cryptocurrencies.
Volgens de juni Het aandeel van Exim is 57.05% (een jaar geleden 56.56%), Postfix wordt gebruikt op 34.52% (33.79%) van de mailservers, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Door De Shodan-service blijft potentieel kwetsbaar voor meer dan 3.6 miljoen mailservers op het wereldwijde netwerk die niet zijn bijgewerkt naar de nieuwste versie van Exim 4.92. Ongeveer 2 miljoen potentieel kwetsbare servers bevinden zich in de Verenigde Staten, 192 duizend in Rusland. Door RiskIQ-bedrijf is al overgestapt op versie 4.92 van 70% van de servers met Exim.
Beheerders wordt geadviseerd om met spoed updates te installeren die vorige week door distributiekits zijn voorbereid (, , , , , ). Als het systeem een kwetsbare versie van Exim heeft (van 4.87 tot en met 4.91), moet u ervoor zorgen dat het systeem niet al is gecompromitteerd door de crontab te controleren op verdachte oproepen en ervoor te zorgen dat er geen extra sleutels in het bestand /root/ staan. ssh-map. Een aanval kan ook worden aangegeven door de aanwezigheid in het firewalllogboek van activiteit van de hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io en an7kmd2wp4xo7hpr.onion.sh, die worden gebruikt om malware te downloaden.
Eerste pogingen om Exim-servers aan te vallen 9 juni. Tegen de aanval van 13 juni karakter. Nadat de kwetsbaarheid via tor2web-gateways is misbruikt, wordt een script gedownload van de verborgen Tor-service (an7kmd2wp4xo7hpr) die controleert op de aanwezigheid van OpenSSH (zo niet ), wijzigt de instellingen ( root login en sleutelauthenticatie) en stelt de gebruiker in op root , dat geprivilegieerde toegang tot het systeem biedt via SSH.
Na het instellen van de achterdeur wordt er een poortscanner op het systeem geïnstalleerd om andere kwetsbare servers te identificeren. Het systeem wordt ook doorzocht op bestaande mining-systemen, die bij identificatie worden verwijderd. In de laatste fase wordt uw eigen miner gedownload en geregistreerd in crontab. De miner wordt gedownload onder het mom van een ico-bestand (in feite is het een zip-archief met het wachtwoord “no-password”), dat een uitvoerbaar bestand in ELF-formaat voor Linux met Glibc 2.7+ bevat.
Bron: opennet.ru