Масова атака на вразливі поштові сервери на основі Exim
Дослідники безпеки з компанії Cybereason попередили адміністраторів поштових серверів про виявлення масової автоматизованої атаки, що експлуатує критичну вразливість (CVE-2019-10149) у Exim, виявлену минулого тижня. Під час атаки зловмисники домагаються виконання свого коду з правами root та встановлюють на сервер шкідливе програмне забезпечення для майнінгу криптовалют.
Відповідно до червневого автоматизованим опитуванням частка Exim складає 57.05% (рік тому 56.56%), Postfix використовується на 34.52% (33.79%) поштових серверів, Sendmail – 4.05% (4.59%), Microsoft Exchange – 0.57% (0.85%). за даними сервісу Shodan потенційно вразливими залишаються понад 3.6 млн. поштових серверів у глобальній мережі, які не оновлені до останнього актуального випуску Exim 4.92. Близько 2 млн потенційно вразливих серверів розміщено у США, 192 тисячі у Росії. за інформацією компанії RiskIQ на версію 4.92 вже перейшло 70% серверів із Exim.
Адміністраторам рекомендується терміново встановити оновлення, які ще минулого тижня були підготовлені дистрибутивами (Debian, Ubuntu, OpenSUSE, Arch Linux, Fedora, EPEL для RHEL/CentOS). У разі наявності в системі поверненої вразливості версії Exim (з 4.87 по 4.91 включно) необхідно переконатися, що система вже не скомпрометована, перевіривши crontab на предмет підозрілих викликів і переконатися в додаткових ключів у каталозі /root/.ssh. Про атаку також може свідчити наявність у лозі міжмережевого екрану активності з хостів an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io та an7kmd2wp4xo7hpr.onion.sh, які використовуються для в процесі завантаження шкідливого .
Перші спроби атаки на сервери Exim зафіксовані 9 червня. До 13 червня атака ухвалиламасовий характер. Після експлуатації вразливості через шлюзи tor2web із прихованого сервісу Tor (an7kmd2wp4xo7hpr) завантажується скрипт, який перевіряє наявність OpenSSH (якщо ні встановлює), змінює його налаштування (дозволяє вхід з root та аутентифікацію за ключами) та встановлює для користувача root RSA-ключ, що надає привілейований доступ до системи через SSH.
Після настроювання бекдора в систему встановлюється сканер портів для виявлення інших вразливих серверів. Також здійснюється пошук у системі вже існуючих систем майнінгу, які видаляються у разі виявлення. На останньому етапі завантажується та прописується в crontab власний майнер. Майнер завантажується під виглядом ico-файлу (насправді є zip-архівом з паролем «no-password»), в якому упакований файл у форматі ELF для Linux з Glibc 2.7+.