Výskumníci v oblasti kybernetickej bezpečnosti správcom poštových serverov o detekcii masívneho automatizovaného útoku, ktorý zneužíva (CVE-2019-10149) v Exime, identifikovaný minulý týždeň. Počas útoku útočníci dosiahnu spustenie svojho kódu ako root a nainštalujú malvér na server na ťažbu kryptomien.
júna podiel Eximu je 57.05 % (pred rokom 56.56 %), Postfix sa používa na 34.52 % (33.79 %) poštových serverov, Sendmail - 4.05 % (4.59 %), Microsoft Exchange - 0.57 % (0.85 %). Autor: služby Shodan, viac ako 3.6 milióna poštových serverov v globálnej sieti zostáva potenciálne zraniteľných, ktoré nie sú aktualizované na najnovšiu aktuálnu verziu Exim 4.92. Približne 2 milióny potenciálne zraniteľných serverov sa nachádza v USA, 192 tisíc v Rusku. Autor: RiskIQ už upgradoval 4.92 % serverov Exim na verziu 70.
Správcom sa odporúča urýchlene nainštalovať aktualizácie, ktoré distribúcie pripravili minulý týždeň (, , , , , ). Ak má systém zraniteľnú verziu Exim (od 4.87 do 4.91 vrátane), musíte sa uistiť, že systém už nie je napadnutý kontrolou crontab na podozrivé hovory a uistiť sa, že v /root/ nie sú žiadne ďalšie kľúče. ssh adresár. Útok môže naznačovať aj prítomnosť aktivity hostiteľov an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io a an7kmd2wp4xo7hpr.onion.sh v protokole brány firewall, ktoré sa používajú počas procesu sťahovania škodlivého softvéru.
Prvé útoky na servery Exim 9. júna. Do útoku 13. júna charakter. Po využití zraniteľnosti cez brány tor2web sa zo skrytej služby Tor (an7kmd2wp4xo7hpr) načíta skript, ktorý kontroluje prítomnosť OpenSSH (ak nie ), zmení svoje nastavenia ( root prihlásenie a autentifikácia kľúčom) a nastaví užívateľa root na A, ktorý poskytuje privilegovaný prístup do systému cez SSH.
Po nastavení zadných dvierok sa v systéme nainštaluje skener portov na identifikáciu ďalších zraniteľných serverov. V systéme tiež vyhľadá existujúce ťažobné systémy, ktoré sa v prípade zistenia odstránia. V poslednej fáze sa váš vlastný baník načíta a zaregistruje v crontab. Baník sa sťahuje pod rúškom súboru ico (v skutočnosti je to archív zip s heslom „bez hesla“), ktorý obsahuje spustiteľný súbor vo formáte ELF pre Linux s Glibc 2.7+.
Zdroj: opennet.ru