Cybereason xavfsizlik tadqiqotchilari pochta serveri ma'murlari ommaviy avtomatlashtirilgan hujumni aniqlash haqida (CVE-2019-10149) Exim-da, o'tgan haftada topilgan. Hujum paytida tajovuzkorlar o'z kodlarini ildiz huquqlari bilan bajarishga erishadilar va kriptovalyutalarni qazib olish uchun serverga zararli dasturlarni o'rnatadilar.
Iyun oyiga ko'ra Exim ulushi 57.05% (bir yil oldin 56.56%), Postfix pochta serverlarining 34.52% (33.79%), Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). tomonidan Shodan xizmati global tarmoqdagi Exim 3.6 ning so'nggi joriy versiyasiga yangilanmagan 4.92 milliondan ortiq pochta serverlariga nisbatan zaif bo'lib qolmoqda. 2 millionga yaqin potentsial zaif serverlar AQShda, 192 mingtasi Rossiyada joylashgan. tomonidan RiskIQ kompaniyasi allaqachon Exim bilan serverlarning 4.92% ning 70 versiyasiga o'tgan.
Administratorlarga o'tgan hafta tarqatish to'plamlari tomonidan tayyorlangan yangilanishlarni zudlik bilan o'rnatish tavsiya etiladi (, , , , , ). Agar tizimda Exim-ning zaif versiyasi (4.87 dan 4.91 gacha) mavjud bo'lsa, shubhali qo'ng'iroqlar uchun crontab-ni tekshirish va /root/-da qo'shimcha kalitlar yo'qligiga ishonch hosil qilish orqali tizim allaqachon buzilmaganligiga ishonch hosil qilishingiz kerak. ssh katalogi. Hujum, shuningdek, zararli dasturlarni yuklab olish uchun ishlatiladigan an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io va an7kmd2wp4xo7hpr.onion.sh xostlarining xavfsizlik devoridagi faoliyat jurnalida mavjudligi bilan ham ko'rsatilishi mumkin.
Exim serverlariga hujum qilishga birinchi urinishlar 9-iyun. 13 iyun kuni hujum xarakter. Tor2web shlyuzlari orqali zaiflikdan foydalangandan so'ng, Tor maxfiy xizmatidan (an7kmd2wp4xo7hpr) OpenSSH mavjudligini (agar bo'lmasa) tekshiradigan skript yuklab olinadi. ), uning sozlamalarini o'zgartiradi ( root login va kalit autentifikatsiyasi) va foydalanuvchini ildizga o'rnatadi , bu SSH orqali tizimga imtiyozli kirishni ta'minlaydi.
Orqa eshikni o'rnatgandan so'ng, boshqa zaif serverlarni aniqlash uchun tizimga port skaneri o'rnatiladi. Tizim, shuningdek, agar aniqlangan bo'lsa, o'chirib tashlanadigan mavjud kon tizimlarini qidiradi. Oxirgi bosqichda o'zingizning shaxtyoringiz yuklab olinadi va crontab-da ro'yxatga olinadi. Miner ico fayli niqobi ostida yuklab olinadi (aslida bu "parol yo'q" paroli bilan zip arxivi), unda Glibc 2.7+ bilan Linux uchun ELF formatidagi bajariladigan fayl mavjud.
Manba: opennet.ru