سائبريسن سيڪيورٽي محقق ايڊمنسٽريٽرن ميل سرورز هڪ وڏي خودڪار حملي جي ڳولا بابت جيڪي استحصال ڪن ٿا (CVE-2019-10149) Exim ۾، گذريل هفتي جي نشاندهي ڪئي وئي. حملي دوران، حملو ڪندڙ حاصل ڪن ٿا انهن جي ڪوڊ جي عمل کي روٽ جي طور تي ۽ سرور تي ميلويئر انسٽال ڪريو کان کني cryptocurrencies لاءِ.
جون Exim جو حصو 57.05٪ آهي (هڪ سال اڳ 56.56٪)، پوسٽ فڪس استعمال ڪيو ويندو آهي 34.52٪ (33.79٪) ميل سرورز، Sendmail - 4.05٪ (4.59٪)، Microsoft Exchange - 0.57٪ (0.85٪). پاران شوڊان سروس جي، عالمي نيٽ ورڪ ۾ 3.6 ملين کان وڌيڪ ميل سرور ممڪن طور تي ڪمزور آهن، جيڪي Exim 4.92 جي تازي موجوده رليز تائين اپڊيٽ نه ڪيا ويا آهن. اٽڪل 2 ملين امڪاني طور تي ڪمزور سرور آمريڪا ۾ واقع آهن، 192 هزار روس ۾. پاران RiskIQ اڳ ۾ ئي ايڪسم سرورز جو 4.92٪ ورزن 70 تائين اپڊيٽ ڪيو آهي.
منتظمين کي صلاح ڏني وئي آهي ته فوري طور تي تازه ڪاريون انسٽال ڪن جيڪي گذريل هفتي جي تقسيم طرفان تيار ڪيون ويون آهن (, , , , , ). جيڪڏهن سسٽم وٽ هڪ ڪمزور ورزن آهي Exim (4.87 کان 4.91 تائين شامل)، توهان کي پڪ ڪرڻ جي ضرورت آهي ته سسٽم اڳ ۾ ئي سمجهوتو نه ڪيو ويو آهي مشڪوڪ ڪالن لاءِ ڪرنٽاب چيڪ ڪندي ۽ پڪ ڪريو ته /root/ ۾ ڪي به اضافي چاٻيون نه آهن. ssh ڊاريڪٽري. هڪ حملي کي ميزبانن کان سرگرمي جي فائر وال لاگ ۾ موجودگي طرفان پڻ اشارو ڪري سگهجي ٿو an7kmd2wp4xo7hpr.tor2web.su، an7kmd2wp4xo7hpr.tor2web.io ۽ an7kmd2wp4xo7hpr.onion.sh، جيڪي ڊائون لوڊ جي عمل دوران استعمال ڪيا ويا آهن.
Exim سرورز تي پهريون حملو 9 جون. 13 جون تي حملو ڪيو ڪردار. tor2web گيٽ ويز ذريعي ڪمزورين جو استحصال ڪرڻ کان پوءِ، تور لڪيل سروس (an7kmd2wp4xo7hpr) مان هڪ اسڪرپٽ لوڊ ڪئي وئي آهي جيڪا OpenSSH جي موجودگي جي جانچ ڪري ٿي (جيڪڏهن نه )، ان جي سيٽنگون تبديل ڪريو ( روٽ لاگ ان ۽ ڪيئي تصديق) ۽ روٽ استعمال ڪندڙ کي سيٽ ڪري ٿو A جيڪو SSH ذريعي سسٽم تائين امتيازي رسائي فراهم ڪري ٿو.
پوئين دروازي کي ترتيب ڏيڻ کان پوء، هڪ پورٽ اسڪينر سسٽم ۾ نصب ڪيو ويو آهي ٻين ڪمزور سرورن کي سڃاڻڻ لاء. اهو موجوده کان کني سسٽم لاء سسٽم پڻ ڳولهي ٿو، جيڪي ختم ٿي ويا آهن جيڪڏهن معلوم ٿئي ٿي. آخري مرحلي تي، توهان جو پنهنجو منر لوڊ ڪيو ويو آهي ۽ ڪرنٽاب ۾ رجسٽر ٿيل آهي. مائنر هڪ ico فائل جي آڙ ۾ ڊائون لوڊ ڪيو ويو آهي (حقيقت ۾، اهو هڪ زپ آرڪائيو آهي "نه-پاسورڊ" پاسورڊ سان، جيڪو Glibc 2.7+ سان لينڪس لاء ELF فارميٽ ۾ هڪ قابل عمل فائل پيڪ ڪري ٿو.
جو ذريعو: opennet.ru