Varnostni raziskovalci iz Cybereason skrbniki poštnih strežnikov o prepoznavanju izkoriščanja množičnega avtomatiziranega napada (CVE-2019-10149) v Eximu, odkrit prejšnji teden. Med napadom napadalci dosežejo izvedbo svoje kode s korenskimi pravicami in namestijo zlonamerno programsko opremo na strežnik za rudarjenje kriptovalut.
Glede na junij Delež Exima je 57.05% (pred letom dni 56.56%), Postfix se uporablja na 34.52% (33.79%) poštnih strežnikov, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Avtor: Storitev Shodan ostaja potencialno ranljiva za več kot 3.6 milijona poštnih strežnikov v globalnem omrežju, ki niso bili posodobljeni na zadnjo izdajo Exima 4.92. Približno 2 milijona potencialno ranljivih strežnikov se nahaja v ZDA, 192 tisoč v Rusiji. Avtor: Podjetje RiskIQ je že prešlo na različico 4.92 70% strežnikov z Eximom.
Skrbnikom svetujemo, da nujno namestijo posodobitve, ki so jih prejšnji teden pripravili distribucijski kompleti (, , , , , ). Če ima sistem ranljivo različico Exima (od 4.87 do vključno 4.91), se morate prepričati, da sistem ni že ogrožen, tako da preverite crontab za sumljive klice in se prepričate, da v /root/ ni dodatnih ključev. ssh imenik. Na napad lahko kaže tudi prisotnost dejavnosti v dnevniku požarnega zidu gostiteljev an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io in an7kmd2wp4xo7hpr.onion.sh, ki se uporabljajo za prenos zlonamerne programske opreme.
Prvi poskusi napada na strežnike Exim 9. junij. Do napada 13. junija značaj. Po izkoriščanju ranljivosti prek prehodov tor2web se iz skrite storitve Tor (an7kmd2wp4xo7hpr) prenese skript, ki preveri prisotnost OpenSSH (če ni ), spremeni svoje nastavitve ( root prijava in preverjanje pristnosti ključa) in nastavi uporabnika na root , ki omogoča privilegiran dostop do sistema preko SSH.
Po nastavitvi stranskih vrat se v sistem namesti skener vrat za prepoznavanje drugih ranljivih strežnikov. V sistemu se išče tudi obstoječe rudarske sisteme, ki se izbrišejo, če so identificirani. Na zadnji stopnji se vaš lastni rudar prenese in registrira v crontab. Rudar se prenese pod krinko datoteke ico (v resnici je to zip arhiv z geslom »no-password«), ki vsebuje izvedljivo datoteko v formatu ELF za Linux z Glibc 2.7+.
Vir: opennet.ru