Cybereason'dan güvenlik araştırmacıları posta sunucusu yöneticilerinin büyük bir otomatik saldırıyı istismar ettiğini belirleme konusunda (CVE-2019-10149) Exim'de geçen hafta keşfedildi. Saldırı sırasında saldırganlar, kodlarının kök haklarıyla yürütülmesini sağlar ve kripto para madenciliği için sunucuya kötü amaçlı yazılım yükler.
Haziran ayına göre Exim'in payı %57.05 (bir yıl önce %56.56), Posta sunucularının %34.52'si (%33.79) Postfix, %4.05'i (%4.59) Sendmail, %0.57'si (%0.85) Microsoft Exchange'de kullanılıyor. İle Shodan hizmeti, küresel ağdaki Exim 3.6'nin en son sürümüne güncellenmemiş 4.92 milyondan fazla posta sunucusuna karşı potansiyel olarak savunmasız olmaya devam ediyor. Amerika Birleşik Devletleri'nde yaklaşık 2 milyon, Rusya'da 192 bin potansiyel olarak savunmasız sunucu bulunmaktadır. İle RiskIQ şirketi halihazırda Exim'li sunucuların %4.92'inin 70 sürümüne geçmiş durumda.
Yöneticilerin geçen hafta dağıtım kitleri tarafından hazırlanan güncellemeleri acilen yüklemeleri tavsiye edilir (, , , , , ). Sistemde Exim'in güvenlik açığı bulunan bir sürümü varsa (4.87'den 4.91'e kadar), şüpheli çağrılar için crontab'ı kontrol ederek ve /root/ dosyasında ek anahtar olmadığından emin olarak sistemin zaten tehlikeye atılmadığından emin olmanız gerekir. ssh dizini. Bir saldırı, kötü amaçlı yazılım indirmek için kullanılan an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ve an7kmd2wp4xo7hpr.onion.sh ana bilgisayarlarının güvenlik duvarı etkinlik günlüğündeki varlığıyla da gösterilebilir.
Exim sunucularına ilk saldırı girişimleri 9 Haziran. 13 Haziran saldırısına kadar karakter. Güvenlik açığından tor2web ağ geçitleri aracılığıyla yararlanıldıktan sonra, Tor gizli hizmetinden (an7kmd2wp4xo7hpr) OpenSSH'nin (eğer değilse) varlığını kontrol eden bir komut dosyası indirilir. ), ayarlarını değiştirir ( root girişi ve anahtar kimlik doğrulaması) ve kullanıcıyı root olarak ayarlar SSH üzerinden sisteme ayrıcalıklı erişim sağlar.
Arka kapıyı kurduktan sonra, diğer savunmasız sunucuları tespit etmek için sisteme bir port tarayıcı kurulur. Sistem aynı zamanda tespit edilmesi halinde silinecek olan mevcut madencilik sistemlerini de arar. Son aşamada kendi madenciniz crontab'a indirilir ve kaydedilir. Madenci, Glibc 2.7+ ile Linux için ELF formatında yürütülebilir bir dosya içeren bir ico dosyası görünümü altında indirilir (aslında "şifresiz" şifresine sahip bir zip arşividir).
Kaynak: opennet.ru