Mga mananaliksik sa seguridad mula sa Cybereason mail server administrator tungkol sa pagtukoy ng isang napakalaking automated attack na pagsasamantala (CVE-2019-10149) sa Exim, natuklasan noong nakaraang linggo. Sa panahon ng pag-atake, nakakamit ng mga umaatake ang pagpapatupad ng kanilang code na may mga karapatan sa ugat at nag-i-install ng malware sa server para sa pagmimina ng mga cryptocurrencies.
Ayon sa Hunyo Ang bahagi ni Exim ay 57.05% (isang taon na ang nakalipas 56.56%), Ginagamit ang Postfix sa 34.52% (33.79%) ng mga mail server, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Sa pamamagitan ng Ang serbisyo ng Shodan ay nananatiling potensyal na mahina sa higit sa 3.6 milyong mail server sa pandaigdigang network na hindi na-update sa pinakabagong kasalukuyang release ng Exim 4.92. Humigit-kumulang 2 milyong potensyal na mahinang server ang matatagpuan sa Estados Unidos, 192 libo sa Russia. Sa pamamagitan ng Ang kumpanya ng RiskIQ ay lumipat na sa bersyon 4.92 ng 70% ng mga server na may Exim.
Pinapayuhan ang mga administrator na agarang mag-install ng mga update na inihanda ng mga distribution kit noong nakaraang linggo (, , , , , ). Kung ang system ay may mahinang bersyon ng Exim (mula 4.87 hanggang 4.91 kasama), kailangan mong tiyakin na ang system ay hindi pa nakompromiso sa pamamagitan ng pagsuri sa crontab para sa mga kahina-hinalang tawag at pagtiyak na walang karagdagang mga key sa /root/. ssh na direktoryo. Ang isang pag-atake ay maaari ding ipahiwatig sa pamamagitan ng presensya sa firewall log ng aktibidad mula sa mga host na an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io at an7kmd2wp4xo7hpr.onion.sh, na ginagamit upang mag-download ng malware.
Mga unang pagtatangka na atakehin ang mga server ng Exim ika-9 ng Hunyo. Sa pag-atake ng Hunyo 13 karakter. Pagkatapos pagsamantalahan ang kahinaan sa pamamagitan ng mga gateway ng tor2web, ang isang script ay dina-download mula sa Tor hidden service (an7kmd2wp4xo7hpr) na tumitingin sa pagkakaroon ng OpenSSH (kung hindi ), binabago ang mga setting nito ( root login at key authentication) at itinatakda ang user sa root , na nagbibigay ng privileged access sa system sa pamamagitan ng SSH.
Pagkatapos i-set up ang backdoor, may naka-install na port scanner sa system upang matukoy ang iba pang mga vulnerable na server. Hinahanap din ang system para sa mga umiiral na sistema ng pagmimina, na tatanggalin kung matukoy. Sa huling yugto, ang iyong sariling minero ay nai-download at nakarehistro sa crontab. Ang minero ay nai-download sa ilalim ng pagkukunwari ng isang ico file (sa katunayan ito ay isang zip archive na may password na "no-password"), na naglalaman ng isang maipapatupad na file sa ELF format para sa Linux na may Glibc 2.7+.
Pinagmulan: opennet.ru