Муҳаққиқони амният аз Cybereason маъмурони сервери почта дар бораи муайян кардани ҳамлаи азими худкори истисмори (CVE-2019-10149) дар Exim, ки ҳафтаи гузашта кашф шудааст. Ҳангоми ҳамла, ҳамлагарон ба иҷрои рамзи худ бо ҳуқуқи реша ноил мешаванд ва дар сервер барои истихроҷи криптовалютҳо нармафзори зараровар насб мекунанд.
Мувофики мохи июнь Ҳиссаи Exim 57.05% (як сол пеш 56.56%), Postfix дар 34.52% (33.79%) серверҳои почта истифода мешавад, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Аз ҷониби Хидмати Shodan эҳтимолан ба беш аз 3.6 миллион серверҳои почтаи электронӣ дар шабакаи ҷаҳонӣ осебпазир боқӣ мемонад, ки ба версияи охирини Exim 4.92 навсозӣ нашудаанд. Тақрибан 2 миллион серверҳои эҳтимолан осебпазир дар Иёлоти Муттаҳида ва 192 ҳазор дар Русия ҷойгиранд. Аз ҷониби Ширкати RiskIQ аллакай ба версияи 4.92 аз 70% серверҳо бо Exim гузаштааст.
Ба маъмурон тавсия дода мешавад, ки навсозиҳоеро, ки ҳафтаи гузашта аз ҷониби маҷмӯаҳои тақсимот омода шуда буданд, фавран насб кунанд (, , , , , ). Агар система версияи осебпазири Exim дошта бошад (аз 4.87 то 4.91 фарогир), шумо бояд боварӣ ҳосил кунед, ки система аллакай тавассути тафтиши crontab барои зангҳои шубҳанок ва боварӣ ҳосил кардан лозим аст, ки дар /root/ калидҳои иловагӣ мавҷуд нестанд. директорияи ssh. Ҳамларо инчунин метавон бо мавҷудияти фаъолияти ҳостҳои an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ва an7kmd2wp4xo7hpr.onion.sh, ки барои зеркашии нармафзори зараровар истифода мешаванд, дар гузориши брандмауэр нишон дод.
Аввалин кӯшишҳои ҳамла ба серверҳои Exim 9 июн. То 13 июн ҳамла характер. Пас аз истифодаи осебпазирӣ тавассути шлюзҳои tor2web, скрипт аз хидмати пинҳонии Tor (an7kmd2wp4xo7hpr) зеркашӣ карда мешавад, ки мавҷудияти OpenSSH-ро тафтиш мекунад (агар не ), танзимоти онро тағир медиҳад ( воридшавии реша ва аутентификатсияи калид) ва корбарро ба решаканкунӣ муқаррар мекунад , ки дастрасии имтиёзнокро ба система тавассути SSH таъмин мекунад.
Пас аз насб кардани дари пас, сканери портӣ дар система барои муайян кардани серверҳои осебпазир насб карда мешавад. Система инчунин барои системаҳои мавҷудаи истихроҷи маъдан ҷустуҷӯ карда мешавад, ки дар сурати муайян кардани онҳо нест карда мешаванд. Дар марҳилаи охирин, конкани шахсии шумо дар crontab зеркашӣ ва ба қайд гирифта мешавад. Шахтёр зери ниқоби файли ico зеркашӣ карда мешавад (дар асл он бойгонии zip бо пароли "no-password" аст), ки дорои файли иҷрошаванда дар формати ELF барои Linux бо Glibc 2.7+ мебошад.
Манбаъ: opennet.ru