سائبریسن کے سیکیورٹی محققین میل سرور کے منتظمین ایک بڑے پیمانے پر خودکار حملے کے استحصال کی شناخت کے بارے میں (CVE-2019-10149) Exim میں، پچھلے ہفتے دریافت ہوا۔ حملے کے دوران، حملہ آور روٹ رائٹس کے ساتھ اپنے کوڈ پر عمل درآمد کرتے ہیں اور کرپٹو کرنسیوں کی کان کنی کے لیے سرور پر میلویئر انسٹال کرتے ہیں۔
جون کے مطابق ایگزم کا حصہ 57.05% (ایک سال پہلے 56.56%) ہے، پوسٹ فکس 34.52% (33.79%) میل سرورز پر استعمال ہوتا ہے، Sendmail - 4.05% (4.59%)، Microsoft Exchange - 0.57% (0.85%)۔ کی طرف سے شوڈن سروس عالمی نیٹ ورک پر 3.6 ملین سے زیادہ میل سرورز کے لیے ممکنہ طور پر خطرے سے دوچار ہے جنہیں Exim 4.92 کی تازہ ترین ریلیز میں اپ ڈیٹ نہیں کیا گیا ہے۔ تقریباً 2 ملین ممکنہ طور پر کمزور سرورز ریاستہائے متحدہ میں، 192 ہزار روس میں واقع ہیں۔ کی طرف سے RiskIQ کمپنی پہلے ہی ایگزم کے ساتھ 4.92% سرورز کے ورژن 70 پر سوئچ کر چکی ہے۔
منتظمین کو مشورہ دیا جاتا ہے کہ وہ فوری طور پر ان اپ ڈیٹس کو انسٹال کریں جو پچھلے ہفتے ڈسٹری بیوشن کٹس کے ذریعے تیار کی گئی تھیں (, , , , , )۔ اگر سسٹم کے پاس Exim کا کمزور ورژن ہے (4.87 سے 4.91 تک)، آپ کو اس بات کو یقینی بنانا ہوگا کہ مشکوک کالوں کے لیے کرونٹاب کو چیک کرکے اور اس بات کو یقینی بنائیں کہ /root/ میں کوئی اضافی کلیدیں موجود نہیں ہیں۔ ssh ڈائریکٹری۔ ایک حملے کی نشاندہی میزبانوں کے فائر وال لاگ میں سرگرمی کی موجودگی سے بھی کی جا سکتی ہے an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io اور an7kmd2wp4xo7hpr.onion.sh، جو ویئر ڈاؤن لوڈ کرنے کے لیے استعمال ہوتے ہیں۔
Exim سرورز پر حملہ کرنے کی پہلی کوشش 9 جون. 13 جون کے حملے تک کردار tor2web گیٹ ویز کے ذریعے کمزوری کا فائدہ اٹھانے کے بعد، Tor پوشیدہ سروس (an7kmd2wp4xo7hpr) سے ایک اسکرپٹ ڈاؤن لوڈ کیا جاتا ہے جو OpenSSH کی موجودگی کی جانچ کرتا ہے (اگر نہیں اس کی ترتیبات کو تبدیل کرتا ہے ( روٹ لاگ ان اور کلیدی توثیق) اور صارف کو روٹ پر سیٹ کرتا ہے۔ ، جو SSH کے ذریعے سسٹم تک مراعات یافتہ رسائی فراہم کرتا ہے۔
بیک ڈور سیٹ اپ کرنے کے بعد، دوسرے کمزور سرورز کی شناخت کے لیے سسٹم پر ایک پورٹ سکینر نصب کیا جاتا ہے۔ سسٹم میں موجودہ کان کنی کے نظام کی بھی تلاش کی جاتی ہے، جن کی شناخت ہونے پر اسے حذف کر دیا جاتا ہے۔ آخری مرحلے پر، آپ کا اپنا کان کن ڈاؤن لوڈ اور کرونٹاب میں رجسٹرڈ ہوتا ہے۔ کان کن کو ایک ico فائل کی آڑ میں ڈاؤن لوڈ کیا جاتا ہے (حقیقت میں یہ پاس ورڈ "no-password" کے ساتھ ایک زپ آرکائیو ہے)، جس میں Glibc 2.7+ کے ساتھ لینکس کے لیے ELF فارمیٹ میں ایک قابل عمل فائل موجود ہے۔
ماخذ: opennet.ru