Watafiti wa usalama kutoka Cybereason wasimamizi wa seva ya barua kuhusu kutambua uvamizi mkubwa wa kiotomatiki (CVE-2019-10149) katika Exim, iliyogunduliwa wiki iliyopita. Wakati wa shambulio hilo, washambuliaji hufanikisha utekelezaji wa nambari zao kwa haki za mizizi na kusakinisha programu hasidi kwenye seva kwa fedha za siri za uchimbaji madini.
Kulingana na Juni Sehemu ya Exim ni 57.05% (mwaka mmoja uliopita 56.56%), Postfix inatumika kwa 34.52% (33.79%) ya seva za barua, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Na Huduma ya Shodan bado inaweza kuathiriwa na seva zaidi ya milioni 3.6 za barua pepe kwenye mtandao wa kimataifa ambazo hazijasasishwa hadi toleo jipya zaidi la Exim 4.92. Karibu seva milioni 2 zinazoweza kuathirika ziko nchini Merika, 192 nchini Urusi. Na Kampuni ya RiskIQ tayari imebadilisha hadi toleo la 4.92 la 70% ya seva na Exim.
Wasimamizi wanashauriwa kusakinisha kwa haraka masasisho ambayo yalitayarishwa na vifaa vya usambazaji wiki iliyopita (, , , , , ) Ikiwa mfumo una toleo lenye mazingira magumu la Exim (kutoka 4.87 hadi 4.91 pamoja), unahitaji kuhakikisha kuwa mfumo haujaathirika kwa kuangalia crontab kwa simu zinazotiliwa shaka na kuhakikisha kuwa hakuna funguo za ziada kwenye /root/. ssh saraka. Shambulio linaweza pia kuonyeshwa kwa uwepo katika kumbukumbu ya ngome ya shughuli kutoka kwa wapangishi an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io na an7kmd2wp4xo7hpr.onion.sh, ambayo hutumiwa kupakua programu hasidi.
Majaribio ya kwanza ya kushambulia seva za Exim tarehe 9 Juni. Kufikia Juni 13, shambulio hilo tabia. Baada ya kutumia udhaifu kupitia lango la tor2web, hati inapakuliwa kutoka kwa huduma iliyofichwa ya Tor (an7kmd2wp4xo7hpr) ambayo hukagua uwepo wa OpenSSH (ikiwa sivyo. ), hubadilisha mipangilio yake ( kuingia kwa mizizi na uthibitishaji wa ufunguo) na kuweka mtumiaji mizizi , ambayo hutoa ufikiaji wa upendeleo kwa mfumo kupitia SSH.
Baada ya kusanidi mlango wa nyuma, kichanganuzi cha mlango husakinishwa kwenye mfumo ili kutambua seva zingine zilizo hatarini. Mfumo huo pia hutafutwa kwa mifumo iliyopo ya uchimbaji madini, ambayo hufutwa ikibainika. Katika hatua ya mwisho, mchimbaji wako mwenyewe anapakuliwa na kusajiliwa katika crontab. Mchimbaji hupakuliwa chini ya kivuli cha faili ya ico (kwa kweli ni kumbukumbu ya zip na nenosiri "hakuna nenosiri"), ambalo lina faili inayoweza kutekelezwa katika muundo wa ELF kwa Linux na Glibc 2.7+.
Chanzo: opennet.ru