சைபரீசனில் இருந்து பாதுகாப்பு ஆய்வாளர்கள் ஒரு பெரிய தானியங்கி தாக்குதல் சுரண்டலை அடையாளம் காண்பது பற்றி அஞ்சல் சேவையக நிர்வாகிகள் (CVE-2019-10149) Exim இல், கடந்த வாரம் கண்டுபிடிக்கப்பட்டது. தாக்குதலின் போது, தாக்குபவர்கள் தங்கள் குறியீட்டை ரூட் உரிமைகளுடன் செயல்படுத்தி, சுரங்க கிரிப்டோகரன்சிகளுக்கு தீம்பொருளை சர்வரில் நிறுவுகின்றனர்.
ஜூன் படி Exim இன் பங்கு 57.05% (ஒரு வருடத்திற்கு முன்பு 56.56%), Postfix 34.52% (33.79%) அஞ்சல் சேவையகங்களில் பயன்படுத்தப்படுகிறது, Sendmail - 4.05% (4.59%), மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் - 0.57% (0.85%). மூலம் எக்சிம் 3.6 இன் சமீபத்திய வெளியீட்டிற்கு புதுப்பிக்கப்படாத உலகளாவிய நெட்வொர்க்கில் உள்ள 4.92 மில்லியனுக்கும் அதிகமான அஞ்சல் சேவையகங்களுக்கு ஷோடான் சேவை பாதிக்கப்படக்கூடியதாக உள்ளது. சுமார் 2 மில்லியன் பாதிக்கப்படக்கூடிய சேவையகங்கள் அமெரிக்காவில் அமைந்துள்ளன, ரஷ்யாவில் 192 ஆயிரம். மூலம் RiskIQ நிறுவனம் ஏற்கனவே Exim உடன் 4.92% சர்வர்களில் பதிப்பு 70க்கு மாறியுள்ளது.
கடந்த வாரம் விநியோக கருவிகளால் தயாரிக்கப்பட்ட புதுப்பிப்புகளை அவசரமாக நிறுவ நிர்வாகிகளுக்கு அறிவுறுத்தப்படுகிறது (, , , , , ) கணினியில் Exim இன் பாதிக்கப்படக்கூடிய பதிப்பு இருந்தால் (4.87 முதல் 4.91 வரை), சந்தேகத்திற்கிடமான அழைப்புகளுக்காக crontab ஐச் சரிபார்த்து, /root/ இல் கூடுதல் விசைகள் எதுவும் இல்லை என்பதை உறுதிப்படுத்துவதன் மூலம் கணினி ஏற்கனவே சமரசம் செய்யப்படவில்லை என்பதை உறுதிப்படுத்த வேண்டும். ssh அடைவு. தீம்பொருளைப் பதிவிறக்கப் பயன்படும் an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io மற்றும் an7kmd2wp4xo7hpr.onion.sh ஹோஸ்ட்களின் செயல்பாடுகளின் ஃபயர்வால் பதிவில் இருப்பதன் மூலமும் தாக்குதலைக் குறிப்பிடலாம்.
எக்சிம் சர்வர்களை தாக்க முதல் முயற்சி ஜூன் 9 ஆம் தேதி. ஜூன் 13 தாக்குதல் மூலம் பாத்திரம். tor2web நுழைவாயில்கள் மூலம் பாதிப்பைப் பயன்படுத்திய பிறகு, Tor மறைக்கப்பட்ட சேவையிலிருந்து (an7kmd2wp4xo7hpr) ஒரு ஸ்கிரிப்ட் பதிவிறக்கம் செய்யப்படுகிறது, இது OpenSSH (இல்லையெனில்) இருப்பதைச் சரிபார்க்கிறது. ), அதன் அமைப்புகளை மாற்றுகிறது ( ரூட் உள்நுழைவு மற்றும் விசை அங்கீகாரம்) மற்றும் பயனரை ரூட்டாக அமைக்கிறது , இது SSH வழியாக கணினிக்கு சிறப்பு அணுகலை வழங்குகிறது.
பின்கதவை அமைத்த பிறகு, பாதிக்கப்படக்கூடிய பிற சேவையகங்களை அடையாளம் காண கணினியில் போர்ட் ஸ்கேனர் நிறுவப்பட்டுள்ளது. கணினி ஏற்கனவே உள்ள சுரங்க அமைப்புகளுக்காகவும் தேடப்படுகிறது, அவை அடையாளம் காணப்பட்டால் நீக்கப்படும். கடைசி கட்டத்தில், உங்கள் சொந்த மைனர் பதிவிறக்கம் செய்யப்பட்டு க்ரான்டாப்பில் பதிவு செய்யப்பட்டார். மைனர் ஒரு ஐகோ கோப்பு என்ற போர்வையில் பதிவிறக்கம் செய்யப்படுகிறது (உண்மையில் இது கடவுச்சொல் "நோ-பாஸ்வேர்ட்" கொண்ட ஜிப் காப்பகமாகும்), இது லினக்ஸிற்கான ELF வடிவத்தில் Glibc 2.7+ உடன் இயங்கக்கூடிய கோப்பைக் கொண்டுள்ளது.
ஆதாரம்: opennet.ru