Sikkerhetsforskere fra Cybereason e-postserveradministratorer om å identifisere et massivt automatisert angrep som utnytter (CVE-2019-10149) i Exim, oppdaget forrige uke. Under angrepet oppnår angripere kjøring av koden sin med rotrettigheter og installerer skadelig programvare på serveren for utvinning av kryptovalutaer.
I følge juni Exims andel er 57.05% (for et år siden 56.56%), Postfix brukes på 34.52% (33.79%) av e-postservere, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Av Shodan-tjenesten er fortsatt potensielt sårbar for mer enn 3.6 millioner e-postservere på det globale nettverket som ikke har blitt oppdatert til den siste gjeldende versjonen av Exim 4.92. Omtrent 2 millioner potensielt sårbare servere er lokalisert i USA, 192 tusen i Russland. Av RiskIQ-selskapet har allerede byttet til versjon 4.92 av 70 % av serverne med Exim.
Administratorer anbefales å raskt installere oppdateringer som ble utarbeidet av distribusjonssett forrige uke (, , , , , ). Hvis systemet har en sårbar versjon av Exim (fra 4.87 til og med 4.91), må du forsikre deg om at systemet ikke allerede er kompromittert ved å sjekke crontab for mistenkelige anrop og sørge for at det ikke er noen ekstra nøkler i /root/. ssh-katalogen. Et angrep kan også indikeres ved tilstedeværelse i brannmurloggen av aktivitet fra vertene an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io og an7kmd2wp4xo7hpr.onion.sh, som brukes til å laste ned skadelig programvare.
Første forsøk på å angripe Exim-servere den 9. juni. Innen 13. juni angrep karakter. Etter å ha utnyttet sårbarheten gjennom tor2web-gatewayer, lastes det ned et skript fra Tor hidden-tjenesten (an7kmd2wp4xo7hpr) som sjekker for tilstedeværelsen av OpenSSH (hvis ikke ), endrer innstillingene ( root-pålogging og nøkkelautentisering) og setter brukeren til root , som gir privilegert tilgang til systemet via SSH.
Etter å ha satt opp bakdøren, installeres en portskanner på systemet for å identifisere andre sårbare servere. Systemet søkes også etter eksisterende gruvesystemer, som slettes hvis de identifiseres. På siste trinn lastes din egen miner ned og registreres i crontab. Gruvearbeideren lastes ned under dekke av en ico-fil (faktisk er det et zip-arkiv med passordet "no-password"), som inneholder en kjørbar fil i ELF-format for Linux med Glibc 2.7+.
Kilde: opennet.ru