سائبريسن سيڪيورٽي محقق خبردار ڪيو ايڊمنسٽريٽرن ميل سرورز هڪ وڏي خودڪار حملي جي ڳولا بابت جيڪي استحصال ڪن ٿا نازڪ ڪمزوري (CVE-2019-10149) Exim ۾، گذريل هفتي جي نشاندهي ڪئي وئي. حملي دوران، حملو ڪندڙ حاصل ڪن ٿا انهن جي ڪوڊ جي عمل کي روٽ جي طور تي ۽ سرور تي ميلويئر انسٽال ڪريو کان کني cryptocurrencies لاءِ.
جون خودڪار سروي Exim جو حصو 57.05٪ آهي (هڪ سال اڳ 56.56٪)، پوسٽ فڪس استعمال ڪيو ويندو آهي 34.52٪ (33.79٪) ميل سرورز، Sendmail - 4.05٪ (4.59٪)، Microsoft Exchange - 0.57٪ (0.85٪). پاران ڏنل آهي شوڊان سروس جي، عالمي نيٽ ورڪ ۾ 3.6 ملين کان وڌيڪ ميل سرور ممڪن طور تي ڪمزور آهن، جيڪي Exim 4.92 جي تازي موجوده رليز تائين اپڊيٽ نه ڪيا ويا آهن. اٽڪل 2 ملين امڪاني طور تي ڪمزور سرور آمريڪا ۾ واقع آهن، 192 هزار روس ۾. پاران ڄاڻ RiskIQ اڳ ۾ ئي ايڪسم سرورز جو 4.92٪ ورزن 70 تائين اپڊيٽ ڪيو آهي.
منتظمين کي صلاح ڏني وئي آهي ته فوري طور تي تازه ڪاريون انسٽال ڪن جيڪي گذريل هفتي جي تقسيم طرفان تيار ڪيون ويون آهن (ديبين, Ubuntu, OpenSUSE, آرڪيڪس لينڪس, بيدل, EPEL RHEL/CentOS لاءِ). جيڪڏهن سسٽم وٽ هڪ ڪمزور ورزن آهي Exim (4.87 کان 4.91 تائين شامل)، توهان کي پڪ ڪرڻ جي ضرورت آهي ته سسٽم اڳ ۾ ئي سمجهوتو نه ڪيو ويو آهي مشڪوڪ ڪالن لاءِ ڪرنٽاب چيڪ ڪندي ۽ پڪ ڪريو ته /root/ ۾ ڪي به اضافي چاٻيون نه آهن. ssh ڊاريڪٽري. هڪ حملي کي ميزبانن کان سرگرمي جي فائر وال لاگ ۾ موجودگي طرفان پڻ اشارو ڪري سگهجي ٿو an7kmd2wp4xo7hpr.tor2web.su، an7kmd2wp4xo7hpr.tor2web.io ۽ an7kmd2wp4xo7hpr.onion.sh، جيڪي ڊائون لوڊ جي عمل دوران استعمال ڪيا ويا آهن.
Exim سرورز تي پهريون حملو مقرر 9 جون. 13 جون تي حملو ڪيو ٿي گذريوماس ڪردار. tor2web گيٽ ويز ذريعي ڪمزورين جو استحصال ڪرڻ کان پوءِ، تور لڪيل سروس (an7kmd2wp4xo7hpr) مان هڪ اسڪرپٽ لوڊ ڪئي وئي آهي جيڪا OpenSSH جي موجودگي جي جانچ ڪري ٿي (جيڪڏهن نه سيٽ)، ان جي سيٽنگون تبديل ڪريو (اجازت ڏئي ٿو روٽ لاگ ان ۽ ڪيئي تصديق) ۽ روٽ استعمال ڪندڙ کي سيٽ ڪري ٿو RSA چاٻيA جيڪو SSH ذريعي سسٽم تائين امتيازي رسائي فراهم ڪري ٿو.