ProHoster > Блог > ayelujara iroyin > Ikọlu olopobobo lori awọn olupin meeli ti o da lori Exim jẹ ipalara

Ikọlu olopobobo lori awọn olupin meeli ti o da lori Exim jẹ ipalara

Awọn oniwadi aabo lati Cybereason kilo awọn alabojuto olupin imeeli nipa idamo ikọlu aladaaṣe nla ti n lo nilokulo lominu ni palara (CVE-2019-10149) ni Exim, ti a ṣe awari ni ọsẹ to kọja. Lakoko ikọlu naa, awọn ikọlu ṣaṣeyọri ipaniyan ti koodu wọn pẹlu awọn ẹtọ gbongbo ati fi malware sori olupin fun awọn owo-iworo iwakusa.

Ni ibamu si awọn Okudu aládàáṣiṣẹ iwadi Ipin Exim jẹ 57.05% (odun kan sẹhin 56.56%), Postfix jẹ lilo lori 34.52% (33.79%) ti awọn olupin meeli, Firanṣẹ - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). Nipasẹ fifun Iṣẹ Shodan wa ni agbara si diẹ sii ju awọn olupin meeli 3.6 milionu lori nẹtiwọọki agbaye ti ko ti ni imudojuiwọn si itusilẹ lọwọlọwọ tuntun ti Exim 4.92. Nipa 2 milionu awọn olupin ti o ni ipalara ti o ni ipalara wa ni Amẹrika, 192 ẹgbẹrun ni Russia. Nipasẹ alaye Ile-iṣẹ RiskIQ ti yipada tẹlẹ si ẹya 4.92 ti 70% ti awọn olupin pẹlu Exim.

Ikọlu olopobobo lori awọn olupin meeli ti o da lori Exim jẹ ipalara

A gba awọn alabojuto niyanju lati fi awọn imudojuiwọn sori ẹrọ ni iyara ti o ti pese sile nipasẹ awọn ohun elo pinpin ni ọsẹ to kọja (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL fun RHEL/CentOS). Ti eto rẹ ba ni ẹya ti o ni ipalara ti Exim (lati 4.87 si 4.91 inclusive), o nilo lati rii daju pe eto naa ko ti bajẹ tẹlẹ nipasẹ ṣiṣe ayẹwo crontab fun awọn ipe ifura ati rii daju pe ko si awọn bọtini afikun ninu / root/. ssh liana. Ikọlu le tun jẹ itọkasi nipasẹ wiwa ninu iwe iṣẹ ogiriina ti iṣẹ lati ọdọ awọn agbalejo an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ati an7kmd2wp4xo7hpr.onion.sh, eyiti a lo lati ṣe igbasilẹ malware.

Awọn igbiyanju akọkọ lati kolu awọn olupin Exim gba silẹ ojo 9 osu kefa. Nipa Okudu 13 kolu mu ọpọ iwa. Lẹhin ilokulo ailagbara nipasẹ awọn ẹnu-ọna tor2web, a ṣe igbasilẹ iwe afọwọkọ kan lati inu iṣẹ ti o farapamọ Tor (an7kmd2wp4xo7hpr) ti o ṣayẹwo fun wiwa OpenSSH (ti kii ba ṣe bẹ. tosaaju), yi awọn eto rẹ pada (faye gba iwọle root ati ijẹrisi bọtini) ati ṣeto olumulo si gbongbo RSA bọtini, eyi ti o pese anfani wiwọle si eto nipasẹ SSH.

Lẹhin ti ṣeto ẹnu-ọna ẹhin, a ti fi ẹrọ ọlọjẹ ibudo sori ẹrọ lati ṣe idanimọ awọn olupin miiran ti o ni ipalara. Eto naa tun wa awọn eto iwakusa ti o wa tẹlẹ, eyiti o paarẹ ti o ba jẹ idanimọ. Ni ipele ti o kẹhin, a ti gbasilẹ ati forukọsilẹ ni crontab. A ṣe igbasilẹ miner labẹ itanjẹ ti faili ico kan (ni otitọ o jẹ ibi ipamọ zip pẹlu ọrọ igbaniwọle “ko si-ọrọ igbaniwọle”), eyiti o ni faili ṣiṣe ni ọna kika ELF fun Linux pẹlu Glibc 2.7+.

orisun: opennet.ru

Fi ọrọìwòye kun