ProHoster > BLOG > știri pe internet > Atac în vrac asupra serverelor de e-mail vulnerabile bazate pe Exim

Atac în vrac asupra serverelor de e-mail vulnerabile bazate pe Exim

Cercetători de securitate de la Cybereason avertizat administratorii serverului de e-mail despre identificarea unui atac automat masiv de exploatare vulnerabilitate critică (CVE-2019-10149) în Exim, descoperit săptămâna trecută. În timpul atacului, atacatorii realizează execuția codului lor cu drepturi de root și instalează malware pe server pentru extragerea de criptomonede.

Conform lunii iunie sondaj automatizat Cota Exim este de 57.05% (acum un an 56.56%), Postfix este utilizat pe 34.52% (33.79%) din serverele de mail, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). De În conformitate cu Serviciul Shodan rămâne potențial vulnerabil la peste 3.6 milioane de servere de e-mail din rețeaua globală care nu au fost actualizate la cea mai recentă versiune actuală a Exim 4.92. Aproximativ 2 milioane de servere potențial vulnerabile sunt situate în Statele Unite, 192 mii în Rusia. De informații Compania RiskIQ a trecut deja la versiunea 4.92 a 70% dintre serverele cu Exim.

Atac în vrac asupra serverelor de e-mail vulnerabile bazate pe Exim

Administratorii sunt sfătuiți să instaleze urgent actualizările care au fost pregătite de kiturile de distribuție săptămâna trecută (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL pentru RHEL/CentOS). Dacă sistemul are o versiune vulnerabilă a Exim (de la 4.87 la 4.91 inclusiv), trebuie să vă asigurați că sistemul nu este deja compromis verificând crontab pentru apeluri suspecte și asigurându-vă că nu există chei suplimentare în /root/. directorul ssh. Un atac poate fi indicat și de prezența în jurnalul firewall a activității de la gazdele an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io și an7kmd2wp4xo7hpr.onion.sh, care sunt folosite pentru a descărca malware.

Primele încercări de a ataca serverele Exim fix 9 iunie. Până la atacul din 13 iunie a luat masa caracter. După exploatarea vulnerabilității prin gateway-uri tor2web, se descarcă un script din serviciul ascuns Tor (an7kmd2wp4xo7hpr) care verifică prezența OpenSSH (dacă nu seturi), își modifică setările (permite autentificare root și autentificare cu cheie) și setează utilizatorul la root cheie RSA, care oferă acces privilegiat la sistem prin SSH.

După configurarea ușii din spate, pe sistem este instalat un scanner de porturi pentru a identifica alte servere vulnerabile. Sistemul este căutat și pentru sistemele miniere existente, care sunt șterse dacă sunt identificate. În ultima etapă, propriul tău miner este descărcat și înregistrat în crontab. Minerul este descărcat sub masca unui fișier ico (de fapt este o arhivă zip cu parola „no-password”), care conține un fișier executabil în format ELF pentru Linux cu Glibc 2.7+.

Sursa: opennet.ru

Adauga un comentariu