โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การโจมตีครั้งใหญ่บนเมลเซิร์ฟเวอร์ที่ใช้ Exim ที่มีช่องโหว่

การโจมตีครั้งใหญ่บนเมลเซิร์ฟเวอร์ที่ใช้ Exim ที่มีช่องโหว่

นักวิจัยด้านความปลอดภัยจาก Cybereason เตือน ผู้ดูแลระบบเมลเซิร์ฟเวอร์เกี่ยวกับการระบุการโจมตีอัตโนมัติขนาดใหญ่ ช่องโหว่ที่สำคัญ (CVE-2019-10149) ใน Exim ค้นพบเมื่อสัปดาห์ที่แล้ว ในระหว่างการโจมตี ผู้โจมตีสามารถรันโค้ดของตนด้วยสิทธิ์ root และติดตั้งมัลแวร์บนเซิร์ฟเวอร์เพื่อขุด cryptocurrencies

ตามเดือนมิถุนายน แบบสำรวจอัตโนมัติ ส่วนแบ่งของ Exim คือ 57.05% (หนึ่งปีที่แล้ว 56.56%), Postfix ใช้กับเซิร์ฟเวอร์อีเมล 34.52% (33.79%), Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%) โดย ข้อมูล บริการ Shodan ยังคงมีความเสี่ยงต่อเมลเซิร์ฟเวอร์มากกว่า 3.6 ล้านเครื่องบนเครือข่ายทั่วโลกที่ไม่ได้รับการอัพเดตเป็น Exim 4.92 รุ่นล่าสุด เซิร์ฟเวอร์ที่อาจมีความเสี่ยงประมาณ 2 ล้านเครื่องตั้งอยู่ในสหรัฐอเมริกา และ 192 แห่งในรัสเซีย โดย ข้อมูล บริษัท RiskIQ ได้เปลี่ยนไปใช้เวอร์ชัน 4.92 จาก 70% ของเซิร์ฟเวอร์ที่มี Exim แล้ว

การโจมตีครั้งใหญ่บนเมลเซิร์ฟเวอร์ที่ใช้ Exim ที่มีช่องโหว่

ผู้ดูแลระบบควรติดตั้งการอัปเดตที่จัดทำโดยชุดการแจกจ่ายอย่างเร่งด่วนเมื่อสัปดาห์ที่แล้ว (debian, อูบุนตู, openSUSE, Arch ลินุกซ์, Fedora, EPEL สำหรับ RHEL/CentOS). หากระบบมี Exim เวอร์ชันที่มีช่องโหว่ (ตั้งแต่ 4.87 ถึง 4.91) คุณต้องตรวจสอบให้แน่ใจว่าระบบไม่ได้ถูกบุกรุกโดยการตรวจสอบ crontab เพื่อหาการโทรที่น่าสงสัย และตรวจสอบให้แน่ใจว่าไม่มีคีย์เพิ่มเติมใน /root/ ไดเร็กทอรี ssh การโจมตีสามารถระบุได้โดยการปรากฏตัวในบันทึกไฟร์วอลล์ของกิจกรรมจากโฮสต์ an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io และ an7kmd2wp4xo7hpr.onion.sh ซึ่งใช้ในการดาวน์โหลดมัลแวร์

ความพยายามครั้งแรกที่จะโจมตีเซิร์ฟเวอร์ Exim แก้ไขแล้ว วันที่ 9 มิถุนายน ภายในวันที่ 13 มิถุนายน การโจมตี เอา มวล อักขระ. หลังจากใช้ประโยชน์จากช่องโหว่ผ่านเกตเวย์ tor2web แล้ว สคริปต์จะถูกดาวน์โหลดจากบริการที่ซ่อนอยู่ของ Tor (an7kmd2wp4xo7hpr) ซึ่งจะตรวจสอบการมีอยู่ของ OpenSSH หรือไม่ (หากไม่ใช่ ชุด) เปลี่ยนการตั้งค่า (อนุญาต การเข้าสู่ระบบรูทและการรับรองความถูกต้องของคีย์) และตั้งค่าผู้ใช้เป็นรูท คีย์อาร์เอสเอซึ่งให้สิทธิพิเศษในการเข้าถึงระบบผ่าน SSH

หลังจากตั้งค่าแบ็คดอร์แล้ว เครื่องสแกนพอร์ตจะถูกติดตั้งบนระบบเพื่อระบุเซิร์ฟเวอร์ที่มีช่องโหว่อื่นๆ ระบบยังถูกค้นหาระบบการขุดที่มีอยู่ ซึ่งจะถูกลบออกหากมีการระบุ ในขั้นตอนสุดท้าย ตัวขุดของคุณจะถูกดาวน์โหลดและลงทะเบียนใน crontab ตัวขุดถูกดาวน์โหลดภายใต้หน้ากากของไฟล์ ico (อันที่จริงมันเป็นไฟล์ zip ที่มีรหัสผ่าน “ไม่มีรหัสผ่าน”) ซึ่งมีไฟล์ปฏิบัติการในรูปแบบ ELF สำหรับ Linux ที่มี Glibc 2.7+

ที่มา: opennet.ru

เพิ่มความคิดเห็น