Дослідники безпеки з компанії Cybereason адміністраторів поштових серверів про виявлення масової автоматизованої атаки, що експлуатує (CVE-2019-10149) у Exim, виявлену минулого тижня. Під час атаки зловмисники домагаються виконання свого коду з правами root та встановлюють на сервер шкідливе програмне забезпечення для майнінгу криптовалют.
Відповідно до червневого частка Exim складає 57.05% (рік тому 56.56%), Postfix використовується на 34.52% (33.79%) поштових серверів, Sendmail – 4.05% (4.59%), Microsoft Exchange – 0.57% (0.85%). за сервісу Shodan потенційно вразливими залишаються понад 3.6 млн. поштових серверів у глобальній мережі, які не оновлені до останнього актуального випуску Exim 4.92. Близько 2 млн потенційно вразливих серверів розміщено у США, 192 тисячі у Росії. за компанії RiskIQ на версію 4.92 вже перейшло 70% серверів із Exim.
Адміністраторам рекомендується терміново встановити оновлення, які ще минулого тижня були підготовлені дистрибутивами (, , , , , ). У разі наявності в системі поверненої вразливості версії Exim (з 4.87 по 4.91 включно) необхідно переконатися, що система вже не скомпрометована, перевіривши crontab на предмет підозрілих викликів і переконатися в додаткових ключів у каталозі /root/.ssh. Про атаку також може свідчити наявність у лозі міжмережевого екрану активності з хостів an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io та an7kmd2wp4xo7hpr.onion.sh, які використовуються для в процесі завантаження шкідливого .
Перші спроби атаки на сервери Exim 9 червня. До 13 червня атака характер. Після експлуатації вразливості через шлюзи tor2web із прихованого сервісу Tor (an7kmd2wp4xo7hpr) завантажується скрипт, який перевіряє наявність OpenSSH (якщо ні ), змінює його налаштування ( вхід з root та аутентифікацію за ключами) та встановлює для користувача root , що надає привілейований доступ до системи через SSH.
Після настроювання бекдора в систему встановлюється сканер портів для виявлення інших вразливих серверів. Також здійснюється пошук у системі вже існуючих систем майнінгу, які видаляються у разі виявлення. На останньому етапі завантажується та прописується в crontab власний майнер. Майнер завантажується під виглядом ico-файлу (насправді є zip-архівом з паролем «no-password»), в якому упакований файл у форматі ELF для Linux з Glibc 2.7+.
Джерело: opennet.ru