Массовая атака на уязвимые почтовые серверы на основе Exim

Исслeдoвaтeли бeзoпaснoсти изо кoмпaнии Cybereason прeдупрeдили aдминистрaтoрoв пoчтoвыx сeрвeрoв o выявлeнии мaссoвoй aвтoмaтизирoвaннoй aтaки, эксплуaтирующeй критическую чувствительность (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего заключение с правами root и устанавливают на сервер вредоносное Сообразно для майнинга криптовалют. В соответствии с июньским автоматизированным опросом лихо Exim составляет 57.05% (год вспять 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По части данным сервиса Shodan потенциально уязвимыми остаются больше 3.6 млн почтовых серверов в глобальной птицеловные: перевес, которые не обновлены до последнего актуального выпуска Exim 4.92. Подле 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. Об атаке вот и все может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются пользу кого в процессе загрузки вредоносного ПО. Первые попытки атаки в серверы Exim зафиксированы 9 июня. К 13 июля дегаже приняла массовый характер. После эксплуатации уязвимости вследствие шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, тот или иной проверяет наличие OpenSSH (если ни духу устанавливает), меняет его настройки (разрешает видеовход с root и аутентификацию по ключам) и устанавливает пользу кого пользователя root RSA-ключ, предоставляющий льготный доступ в систему через SSH. После настройки бэкдора в систему устанавливается автосканер портов для выявления других уязвимых серверов. Вот и все осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. Нате последнем этапе загружается и прописывается в crontab приватный майнер. Майнер загружается под видом ico-файла (для деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый обложка в формате ELF для Linux с Glibc 2.7+. Галотерм: http://www.opennet.ru/opennews/art.shtml?num=50870