Pesquisadores de segurança da Cybereason administradores de servidores de e-mail sobre a detecção de um ataque automatizado massivo que explora (CVE-2019-10149) no Exim, identificado na semana passada. Durante o ataque, os invasores conseguem a execução de seu código como root e instalam malware no servidor para mineração de criptomoedas.
Junho a participação do Exim é de 57.05% (há um ano 56.56%), Postfix é usado em 34.52% (33.79%) dos servidores de correio, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Por do serviço Shodan, mais de 3.6 milhões de servidores de correio na rede global permanecem potencialmente vulneráveis, que não são atualizados para a versão mais recente do Exim 4.92. Cerca de 2 milhões de servidores potencialmente vulneráveis estão localizados nos EUA, 192 mil na Rússia. Por RiskIQ já atualizou 4.92% dos servidores Exim para a versão 70.
Os administradores são aconselhados a instalar com urgência as atualizações preparadas pelas distribuições na semana passada (, , , , , ). Se o sistema tiver uma versão vulnerável do Exim (de 4.87 a 4.91 inclusive), você precisa ter certeza de que o sistema ainda não está comprometido, verificando o crontab em busca de chamadas suspeitas e certificando-se de que não há chaves adicionais no /root/. diretório ssh. Um ataque também pode ser indicado pela presença no log do firewall de atividades dos hosts an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io e an7kmd2wp4xo7hpr.onion.sh, que são usados durante o processo de download de malware.
Primeiros ataques a servidores Exim dia 9 de junho. Até o ataque de 13 de junho personagem. Depois de explorar a vulnerabilidade através de gateways tor2web, um script é carregado do serviço oculto Tor (an7kmd2wp4xo7hpr) que verifica a presença de OpenSSH (se não ), altera suas configurações ( login root e autenticação de chave) e define o usuário root como Um que concede acesso privilegiado ao sistema via SSH.
Depois de configurar um backdoor, um scanner de porta é instalado no sistema para identificar outros servidores vulneráveis. Ele também pesquisa no sistema sistemas de mineração existentes, que são excluídos se detectados. Na última etapa, seu próprio minerador é carregado e registrado no crontab. O minerador é baixado sob o disfarce de um arquivo ico (na verdade, é um arquivo zip com uma senha “sem senha”), que compacta um arquivo executável no formato ELF para Linux com Glibc 2.7+.
Fonte: opennet.ru