Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploitin...) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.
В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurv...) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России.
Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.
Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c51430250...), предоставляющий привилегированный доступ в систему через SSH.
После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.
URL: https://www.cybereason.com/blog/new-pervasive-worm-exploitin...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50870