ProHoster > Blog > warta internét > Serangan masif dina server mail basis Exim rentan

Serangan masif dina server mail basis Exim rentan

Panaliti kaamanan ti Cybereason ngingetkeun pangurus server mail ngeunaan ngaidentipikasi serangan otomatis masif exploiting kerentanan kritis (CVE-2019-10149) dina Exim, kapanggih minggu panungtungan. Salila serangan, panyerang ngahontal palaksanaan kode maranéhanana kalayan hak root tur masang malware dina server pikeun cryptocurrencies pertambangan.

Numutkeun Juni survéy otomatis Pangsa Exim nyaéta 57.05% (sataun katukang 56.56%), Postfix dianggo dina 34.52% (33.79%) server mail, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Ku anu dirumuskeun Ladenan Shodan tetep berpotensi rentan ka langkung ti 3.6 juta server surat dina jaringan global anu teu acan diropéa kana sékrési panganyarna tina Exim 4.92. Sakitar 2 juta server anu berpotensi rentan aya di Amérika Serikat, 192 rébu di Rusia. Ku inpormasi Perusahaan RiskIQ parantos ngalih ka versi 4.92 tina 70% server sareng Exim.

Serangan masif dina server mail basis Exim rentan

Administrator disarankan pikeun gancang-gancang masang apdet anu disiapkeun ku kit distribusi minggu kamari (Debian, Ubuntu, openSUSE, Arch Linux Ubuntu, Fedora, EPEL pikeun RHEL / CentOS). Lamun sistem boga versi rentan tina Exim (ti 4.87 ka 4.91 inklusif), anjeun kudu mastikeun yén sistem teu acan compromised ku dipariksa crontab pikeun nelepon curiga jeung pastikeun yén euweuh konci tambahan dina / root /. diréktori ssh. Serangan ogé tiasa ditandaan ku ayana dina log kagiatan firewall ti host an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io sareng an7kmd2wp4xo7hpr.onion.sh, anu dianggo pikeun ngaunduh malware.

Usaha munggaran pikeun nyerang server Exim dirékam tanggal 9 Juni. Ku serangan 13 Juni ngajak jisim karakter. Saatos ngamangpaatkeun kerentanan ngaliwatan gerbang tor2web, skrip diunduh tina jasa disumputkeun Tor (an7kmd2wp4xo7hpr) anu mariksa ayana OpenSSH (upami henteu. susunan), ngarobah setelan na (ngidinan login root sareng auténtikasi konci) sareng nyetél pangguna kana akar konci RSA, nu nyadiakeun aksés husus ka sistem via SSH.

Saatos nyetél backdoor, scanner port dipasang dina sistem pikeun ngaidentipikasi server anu rentan anu sanés. Sistim ieu ogé searched pikeun sistem pertambangan aya, nu dihapus lamun dicirikeun. Dina tahap terakhir, panambang anjeun sorangan diunduh sareng didaptarkeun dina crontab. Panambang diunduh nganggo samaran file ico (saleresna mangrupikeun arsip pos sareng kecap konci "no-sandi"), anu ngandung file anu tiasa dieksekusi dina format ELF pikeun Linux nganggo Glibc 2.7+.

sumber: opennet.ru

Tambahkeun komentar