Cybereason හි ආරක්ෂක පර්යේෂකයන් තැපැල් සේවාදායක පරිපාලකයින් දැවැන්ත ස්වයංක්රීය ප්රහාරයක් සූරාකෑමක් හඳුනා ගැනීම ගැන (CVE-2019-10149) Exim හි, පසුගිය සතියේ සොයා ගන්නා ලදී. ප්රහාරය අතරතුර, ප්රහාරකයින් ඔවුන්ගේ කේතය මූල අයිතිවාසිකම් සමඟ ක්රියාත්මක කර ඇති අතර ගුප්තකේතන මුදල් කැණීම සඳහා සේවාදායකයේ අනිෂ්ට මෘදුකාංග ස්ථාපනය කරයි.
ජුනි මාසයට අනුව Exim හි කොටස 57.05% (වසරකට පෙර 56.56%), Postfix තැපැල් සේවාදායකයන්ගෙන් 34.52% (33.79%) මත භාවිතා වේ, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). විසින් Exim 3.6 හි නවතම නිකුතුවට යාවත්කාලීන කර නොමැති ගෝලීය ජාලයේ මිලියන 4.92 කට වඩා වැඩි තැපැල් සේවාදායකයන් සඳහා Shodan සේවාව අවදානමට ලක් විය හැකිය. අවදානමට ලක්විය හැකි සේවාදායකයන් මිලියන 2 ක් පමණ එක්සත් ජනපදයේ, 192 දහසක් රුසියාවේ පිහිටා ඇත. විසින් RiskIQ සමාගම දැනටමත් Exim සමඟ සේවාදායක 4.92%ක 70 අනුවාදයට මාරු වී ඇත.
පසුගිය සතියේ බෙදාහැරීමේ කට්ටල මගින් සකස් කරන ලද යාවත්කාලීනයන් ඉක්මනින් ස්ථාපනය කරන ලෙස පරිපාලකයින්ට උපදෙස් දෙනු ලැබේ (, , , , , ) ඔබගේ පද්ධතියට Exim හි අවදානමට ලක්විය හැකි අනුවාදයක් තිබේ නම් (4.87 සිට 4.91 දක්වා), සැක සහිත ඇමතුම් සඳහා crontab පරික්ෂා කිරීමෙන් සහ /root/ හි අමතර යතුරු නොමැති බව තහවුරු කර ගැනීමෙන් පද්ධතිය දැනටමත් සම්මුතියකට ලක්වී නොමැති බවට ඔබ සහතික විය යුතුය. ssh නාමාවලිය. අනිෂ්ට මෘදුකාංග බාගැනීමට භාවිතා කරන ධාරක an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io සහ an7kmd2wp4xo7hpr.onion.sh වෙතින් වන ක්රියාකාරකම් ෆයර්වෝල් ලොගයේ තිබීමෙන් ද ප්රහාරයක් දැක්විය හැක.
Exim සේවාදායකයන්ට පහර දීමට පළමු උත්සාහය ජුනි 9 වෙනිදා. ජුනි 13 ප්රහාරයෙන් ස්වභාවය. tor2web gateways හරහා අනාරක්ෂිත බව ප්රයෝජනයට ගැනීමෙන් පසුව, OpenSSH (එසේ නොවේ නම්) තිබේදැයි පරීක්ෂා කරන Tor සැඟවුණු සේවාව (an7kmd2wp4xo7hpr) වෙතින් ස්ක්රිප්ට් එකක් බාගත කරනු ලැබේ. ), එහි සැකසුම් වෙනස් කරයි ( root පිවිසුම සහ යතුරු සත්යාපනය) සහ පරිශීලකයා root කිරීමට සකසයි , SSH හරහා පද්ධතියට වරප්රසාද ලත් ප්රවේශය සපයයි.
පසුපස දොර සැකසීමෙන් පසු, අනෙකුත් අවදානමට ලක්විය හැකි සේවාදායකයන් හඳුනා ගැනීම සඳහා පද්ධතිය මත වරාය ස්කෑනරයක් ස්ථාපනය කර ඇත. පද්ධතිය දැනට පවතින පතල් පද්ධති සඳහාද සොයනු ලබන අතර, ඒවා හඳුනාගතහොත් මකා දමනු ලැබේ. අවසාන අදියරේදී, ඔබේම පතල්කරු බාගත කර crontab හි ලියාපදිංචි කර ඇත. පතල්කරු ico ගොනුවක මුවාවෙන් බාගත කර ඇත (ඇත්ත වශයෙන්ම එය "මුරපදය නොමැති" මුරපදය සහිත zip සංරක්ෂිතයකි), Glibc 2.7+ සමඟ Linux සඳහා ELF ආකෘතියෙන් ක්රියාත්මක කළ හැකි ගොනුවක් අඩංගු වේ.
මූලාශ්රය: opennet.ru