హాని కలిగించే ఎగ్జిమ్ ఆధారిత మెయిల్ సర్వర్లపై భారీ దాడి
సైబరీజన్ నుండి భద్రతా పరిశోధకులు హెచ్చరించారు భారీ ఆటోమేటెడ్ దాడి దోపిడీని గుర్తించడం గురించి మెయిల్ సర్వర్ నిర్వాహకులు క్లిష్టమైన దుర్బలత్వం (CVE-2019-10149) Eximలో, గత వారం కనుగొనబడింది. దాడి సమయంలో, దాడి చేసేవారు తమ కోడ్ను రూట్ హక్కులతో అమలు చేస్తారు మరియు మైనింగ్ క్రిప్టోకరెన్సీల కోసం సర్వర్లో మాల్వేర్ను ఇన్స్టాల్ చేస్తారు.
జూన్ ప్రకారం స్వయంచాలక సర్వే Exim వాటా 57.05% (ఒక సంవత్సరం క్రితం 56.56%), పోస్ట్ఫిక్స్ 34.52% (33.79%) మెయిల్ సర్వర్లలో ఉపయోగించబడుతుంది, సెండ్మెయిల్ - 4.05% (4.59%), మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ - 0.57% (0.85%). ద్వారా డేటా షోడాన్ సేవ గ్లోబల్ నెట్వర్క్లోని 3.6 మిలియన్ల కంటే ఎక్కువ మెయిల్ సర్వర్లకు హాని కలిగించే అవకాశం ఉంది, అవి Exim 4.92 యొక్క తాజా ప్రస్తుత విడుదలకు నవీకరించబడలేదు. దాదాపు 2 మిలియన్ల సంభావ్య హాని కలిగించే సర్వర్లు యునైటెడ్ స్టేట్స్లో ఉన్నాయి, రష్యాలో 192 వేలు. ద్వారా సమాచారం RiskIQ కంపెనీ ఇప్పటికే ఎగ్జిమ్తో 4.92% సర్వర్లలో వెర్షన్ 70కి మారింది.
గత వారం పంపిణీ కిట్ల ద్వారా తయారు చేయబడిన నవీకరణలను అత్యవసరంగా ఇన్స్టాల్ చేయాలని నిర్వాహకులకు సూచించబడింది (డెబియన్, ఉబుంటు, ఓపెన్ SUSE, ఆర్చ్ లైనక్స్, Fedora, RHEL/CentOS కోసం EPEL) మీ సిస్టమ్ ఎగ్జిమ్ (4.87 నుండి 4.91 కలుపుకొని) హాని కలిగించే సంస్కరణను కలిగి ఉన్నట్లయితే, మీరు అనుమానాస్పద కాల్ల కోసం crontabని తనిఖీ చేయడం ద్వారా మరియు /root/లో అదనపు కీలు లేవని నిర్ధారించుకోవడం ద్వారా సిస్టమ్ ఇప్పటికే రాజీ పడలేదని నిర్ధారించుకోవాలి. ssh డైరెక్టరీ. మాల్వేర్ని డౌన్లోడ్ చేయడానికి ఉపయోగించే an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io మరియు an7kmd2wp4xo7hpr.onion.sh. హోస్ట్ల నుండి ఫైర్వాల్ లాగ్ యాక్టివిటీ ఉండటం ద్వారా కూడా దాడిని సూచించవచ్చు.
ఎగ్జిమ్ సర్వర్లపై దాడి చేయడానికి మొదటి ప్రయత్నాలు రికార్డ్ చేయబడింది జూన్ 9వ తేదీ. జూన్ 13 దాడి నాటికి ఆమోదించబడినద్రవ్యరాశి పాత్ర. tor2web గేట్వేల ద్వారా దుర్బలత్వాన్ని ఉపయోగించిన తర్వాత, OpenSSH ఉనికిని తనిఖీ చేసే Tor దాచిన సేవ (an7kmd2wp4xo7hpr) నుండి స్క్రిప్ట్ డౌన్లోడ్ చేయబడుతుంది (లేకపోతే స్థాపిస్తుంది), దాని సెట్టింగులను మారుస్తుంది (అనుమతిస్తుంది రూట్ లాగిన్ మరియు కీ ప్రమాణీకరణ) మరియు వినియోగదారుని రూట్కి సెట్ చేస్తుంది RSA కీ, ఇది SSH ద్వారా సిస్టమ్కు ప్రత్యేక యాక్సెస్ను అందిస్తుంది.
బ్యాక్డోర్ను సెటప్ చేసిన తర్వాత, ఇతర హాని కలిగించే సర్వర్లను గుర్తించడానికి సిస్టమ్లో పోర్ట్ స్కానర్ ఇన్స్టాల్ చేయబడుతుంది. సిస్టమ్ ఇప్పటికే ఉన్న మైనింగ్ సిస్టమ్ల కోసం కూడా శోధించబడుతుంది, అవి గుర్తించబడితే తొలగించబడతాయి. చివరి దశలో, మీ స్వంత మైనర్ డౌన్లోడ్ చేయబడింది మరియు క్రాంటాబ్లో నమోదు చేయబడింది. మైనర్ ఒక ico ఫైల్ ముసుగులో డౌన్లోడ్ చేయబడింది (వాస్తవానికి ఇది పాస్వర్డ్ "నో-పాస్వర్డ్"తో కూడిన జిప్ ఆర్కైవ్), ఇది Linux కోసం ELF ఆకృతిలో Glibc 2.7+తో ఎక్జిక్యూటబుల్ ఫైల్ను కలిగి ఉంటుంది.