Масиван напад на рањиве сервере поште засноване на Екиму
Истраживачи безбедности из Цибереасон-а упозорио администраторе сервера поште о идентификацији масовног аутоматизованог искоришћавања напада критична рањивост (ЦВЕ-2019-10149) у Екиму, откривен прошле недеље. Током напада, нападачи постижу извршење свог кода са роот правима и инсталирају малвер на сервер за рударење криптовалута.
Према јун аутоматизована анкета Удео Екима је 57.05% (пре годину дана 56.56%), Постфик се користи на 34.52% (33.79%) маил сервера, Сендмаил - 4.05% (4.59%), Мицрософт Екцханге - 0.57% (0.85%). Од стране дато Сходан сервис остаје потенцијално рањив на више од 3.6 милиона сервера е-поште на глобалној мрежи који нису ажурирани на најновије издање Еким-а 4.92. Око 2 милиона потенцијално рањивих сервера налази се у Сједињеним Државама, 192 хиљаде у Русији. Од стране информације Компанија РискИК је већ прешла на верзију 4.92 од 70% сервера са Еким-ом.
Администраторима се саветује да хитно инсталирају исправке које су припремили комплети за дистрибуцију прошле недеље (Дебиан, убунту, openSUSE, Арцх Линук, федора, ЕПЕЛ за РХЕЛ/ЦентОС). Ако систем има рањиву верзију Еким-а (од 4.87 до 4.91 укључујући), потребно је да се уверите да систем већ није компромитован тако што ћете проверити цронтаб за сумњиве позиве и уверити се да нема додатних кључева у /роот/. ссх директоријум. Напад се такође може указивати на присуство у евиденцији активности заштитног зида са хостова ан7кмд2вп4ко7хпр.тор2веб.су, ан7кмд2вп4ко7хпр.тор2веб.ио и ан7кмд2вп4ко7хпр.онион.сх, који се користе за преузимање малвера.
Први покушаји напада на Еким сервере фиксно 9. јуна. До напада 13. јуна јемаса карактера. Након искоришћавања рањивости преко тор2веб гатеваи-а, преузима се скрипта са скривене услуге Тор (ан7кмд2вп4ко7хпр) која проверава присуство ОпенССХ-а (ако није сетови), мења своја подешавања (омогућава роот пријава и провера аутентичности кључа) и поставља корисника на роот РСА кључ, који обезбеђује привилеговани приступ систему преко ССХ.
Након подешавања бацкдоор-а, на систем се инсталира скенер портова да би се идентификовали други рањиви сервери. Систем се такође претражује за постојеће рударске системе, који се бришу ако се идентификују. У последњој фази, ваш сопствени рудар се преузима и региструје у цронтаб. Рудар се преузима под маском ицо датотеке (у ствари, то је зип архива са лозинком „но-пассворд“), која садржи извршну датотеку у ЕЛФ формату за Линук са Глибц 2.7+.