Badacze bezpieczeństwa z Cybereason administratorom serwerów pocztowych o identyfikacji masowego, zautomatyzowanego ataku wykorzystującego (CVE-2019-10149) w Eximie, odkryte w zeszłym tygodniu. Podczas ataku napastnicy wykonują swój kod z uprawnieniami roota i instalują na serwerze złośliwe oprogramowanie w celu wydobywania kryptowalut.
Według czerwca Udział Exima wynosi 57.05% (rok temu 56.56%), Postfix jest używany na 34.52% (33.79%) serwerów pocztowych, Sendmail – 4.05% (4.59%), Microsoft Exchange – 0.57% (0.85%). Przez Usługa Shodan pozostaje potencjalnie podatna na ataki ponad 3.6 miliona serwerów pocztowych w sieci globalnej, które nie zostały zaktualizowane do najnowszej wersji Exima 4.92. Około 2 milionów potencjalnie podatnych na ataki serwerów znajduje się w Stanach Zjednoczonych, 192 tysiące w Rosji. Przez Firma RiskIQ przeszła już na wersję 4.92 70% serwerów z Eximem.
Administratorom zaleca się pilne zainstalowanie aktualizacji przygotowanych w zeszłym tygodniu przez zestawy dystrybucyjne (, , , , , ). Jeśli system posiada podatną na ataki wersję Exima (od 4.87 do 4.91 włącznie), należy upewnić się, że system nie jest już zagrożony, sprawdzając crontab pod kątem podejrzanych wywołań i upewniając się, że w katalogu /root/ nie ma dodatkowych kluczy. katalog ssh. Na atak może wskazywać także obecność w dzienniku zapory ogniowej aktywności hostów an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io i an7kmd2wp4xo7hpr.onion.sh, które służą do pobierania złośliwego oprogramowania.
Pierwsze próby ataku na serwery Exim 9 czerwca. Do ataku 13 czerwca postać. Po wykorzystaniu luki za pośrednictwem bram Tor2web, z ukrytej usługi Tor (an7kmd2wp4xo7hpr) pobierany jest skrypt, który sprawdza obecność OpenSSH (jeśli nie ), zmienia swoje ustawienia ( logowanie root i uwierzytelnianie za pomocą klucza) i ustawia użytkownika na root , który zapewnia uprzywilejowany dostęp do systemu poprzez SSH.
Po skonfigurowaniu backdoora w systemie instalowany jest skaner portów w celu identyfikowania innych podatnych na ataki serwerów. W systemie wyszukiwane są także istniejące systemy wydobywcze, które w przypadku zidentyfikowania są usuwane. Na ostatnim etapie pobierany jest Twój własny górnik i rejestrowany w crontabie. Koparkę pobiera się pod postacią pliku ico (w rzeczywistości jest to archiwum zip z hasłem „no-password”), które zawiera plik wykonywalny w formacie ELF dla systemu Linux z Glibc 2.7+.
Źródło: opennet.ru