ProHoster > Blog > lajme në internet > Sulm masiv në serverët e postës të cenueshëm të bazuar në Exim

Sulm masiv në serverët e postës të cenueshëm të bazuar në Exim

Studiuesit e Sigurisë Kibereason paralajmëroi administratorët e serverëve të postës në lidhje me zbulimin e një sulmi masiv të automatizuar që shfrytëzon cenueshmëria kritike (CVE-2019-10149) në Exim, i identifikuar javën e kaluar. Gjatë sulmit, sulmuesit arrijnë ekzekutimin e kodit të tyre si rrënjë dhe instalojnë malware në server për minimin e kriptomonedhave.

Sipas qershorit sondazh i automatizuar pjesa e Exim është 57.05% (një vit më parë 56.56%), Postfix përdoret në 34.52% (33.79%) të serverëve të postës, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Nga të dhëna nga shërbimi Shodan, më shumë se 3.6 milionë serverë të postës në rrjetin global mbeten potencialisht të cenueshëm, të cilët nuk janë përditësuar në versionin më të fundit aktual të Exim 4.92. Rreth 2 milionë serverë potencialisht të cenueshëm janë të vendosur në SHBA, 192 mijë në Rusi. Nga informacion RiskIQ ka përmirësuar tashmë 4.92% të serverëve Exim në versionin 70.

Sulm masiv në serverët e postës të cenueshëm të bazuar në Exim

Administratorët këshillohen të instalojnë urgjentisht përditësimet që janë përgatitur nga shpërndarjet javën e kaluar (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL për RHEL/CentOS). Nëse sistemi ka një version të cenueshëm të Exim (nga 4.87 në 4.91 përfshirëse), duhet të siguroheni që sistemi nuk është tashmë i rrezikuar duke kontrolluar crontab për thirrje të dyshimta dhe të siguroheni që nuk ka çelësa shtesë në /root/. drejtoria ssh. Një sulm mund të tregohet gjithashtu nga prania në regjistrin e aktivitetit të murit të zjarrit nga hostet an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io dhe an7kmd2wp4xo7hpr.onion.sh, të cilat përdoren gjatë procesit të shkarkimit të malware.

Sulmet e para në serverët Exim fikse 9 qershor. Deri në sulmin e 13 qershorit mori masë karakter. Pas shfrytëzimit të cenueshmërisë përmes portave tor2web, një skript ngarkohet nga shërbimi i fshehur Tor (an7kmd2wp4xo7hpr) që kontrollon praninë e OpenSSH (nëse jo grupe), ndryshon cilësimet e tij (lejon identifikimi në rrënjë dhe vërtetimi i çelësit) dhe vendos përdoruesin rrënjë në Çelësi RSAA që jep akses të privilegjuar në sistem nëpërmjet SSH.

Pas konfigurimit të një dere të pasme, një skaner porti instalohet në sistem për të identifikuar serverët e tjerë të cenueshëm. Ai gjithashtu kërkon sistemin për sistemet ekzistuese të minierave, të cilat fshihen nëse zbulohen. Në fazën e fundit, minatori juaj ngarkohet dhe regjistrohet në crontab. Minatori shkarkohet nën maskën e një skedari ico (në fakt, është një arkiv zip me një fjalëkalim "pa fjalëkalim"), i cili paketon një skedar të ekzekutueshëm në formatin ELF për Linux me Glibc 2.7+.

Burimi: opennet.ru

Shto një koment