Prohoster > Blog > tin tức mạng > Tấn công hàng loạt vào các máy chủ thư dựa trên Exim dễ bị tấn công

Tấn công hàng loạt vào các máy chủ thư dựa trên Exim dễ bị tấn công

Các nhà nghiên cứu bảo mật từ Cyberory cảnh báo quản trị viên máy chủ thư về việc xác định một cuộc tấn công tự động quy mô lớn đang khai thác lỗ hổng nghiêm trọng (CVE-2019-10149) ở Exim, được phát hiện vào tuần trước. Trong cuộc tấn công, những kẻ tấn công thực thi mã của chúng với quyền root và cài đặt phần mềm độc hại trên máy chủ để khai thác tiền điện tử.

Theo tháng sáu khảo sát tự động Thị phần của Exim là 57.05% (một năm trước là 56.56%), Postfix được sử dụng trên 34.52% (33.79%) máy chủ thư, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Qua cho Dịch vụ Shodan vẫn tiềm ẩn nguy cơ bị tấn công bởi hơn 3.6 triệu máy chủ thư trên mạng toàn cầu chưa được cập nhật lên bản phát hành Exim 4.92 mới nhất. Khoảng 2 triệu máy chủ có nguy cơ bị tấn công được đặt tại Hoa Kỳ, 192 nghìn máy chủ ở Nga. Qua thông tin Công ty RiskIQ đã chuyển sang phiên bản 4.92 của 70% máy chủ có Exim.

Tấn công hàng loạt vào các máy chủ thư dựa trên Exim dễ bị tấn công

Quản trị viên nên khẩn trương cài đặt các bản cập nhật đã được bộ phân phối chuẩn bị vào tuần trước (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL cho RHEL/CentOS). Nếu hệ thống có phiên bản Exim dễ bị tấn công (bao gồm từ 4.87 đến 4.91), bạn cần đảm bảo rằng hệ thống chưa bị xâm phạm bằng cách kiểm tra crontab để phát hiện các cuộc gọi đáng ngờ và đảm bảo rằng không có khóa bổ sung nào trong thư mục /root/. thư mục ssh. Một cuộc tấn công cũng có thể được biểu thị bằng sự hiện diện trong nhật ký hoạt động của tường lửa từ các máy chủ an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io và an7kmd2wp4xo7hpr.onion.sh, những máy chủ này được sử dụng để tải xuống phần mềm độc hại.

Những nỗ lực tấn công máy chủ Exim lần đầu tiên đã sửa ngày 9 tháng sáu. Đến cuộc tấn công ngày 13 tháng XNUMX mất khối lượng tính cách. Sau khi khai thác lỗ hổng thông qua cổng tor2web, một tập lệnh được tải xuống từ dịch vụ ẩn Tor (an7kmd2wp4xo7hpr) để kiểm tra sự hiện diện của OpenSSH (nếu không bộ), thay đổi cài đặt của nó (cho phép đăng nhập root và xác thực khóa) và đặt người dùng root Khóa RSA, cung cấp quyền truy cập đặc quyền vào hệ thống thông qua SSH.

Sau khi thiết lập cửa sau, một máy quét cổng sẽ được cài đặt trên hệ thống để xác định các máy chủ dễ bị tấn công khác. Hệ thống cũng tìm kiếm các hệ thống khai thác hiện có và sẽ bị xóa nếu được xác định. Ở giai đoạn cuối, công cụ khai thác của riêng bạn được tải xuống và đăng ký trong crontab. Công cụ khai thác được tải xuống dưới dạng tệp ico (trên thực tế, nó là một kho lưu trữ zip có mật khẩu “không có mật khẩu”), chứa tệp thực thi ở định dạng ELF cho Linux với Glibc 2.7+.

Nguồn: opennet.ru

Thêm một lời nhận xét