forum.opennet.ru

Составление сообщения

Исходное сообщение

"Массовая атака на уязвимые почтовые серверы на основе Exim"
Отправлено opennews, 14-Июн-19 09:53

Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploitin...) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.

В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurv...) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса  Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России.

Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149),  Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su,        an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО.
Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы  tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c51430250...), предоставляющий привилегированный доступ в систему через SSH.

После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем  "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.
URL: https://www.cybereason.com/blog/new-pervasive-worm-exploitin...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50870

Исходное сообщение
"Массовая атака на уязвимые почтовые серверы на основе Exim" Отправлено opennews, 14-Июн-19 09:53
Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploitin...) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют. В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurv...) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются для в процессе загрузки вредоносного ПО. Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c51430250...), предоставляющий привилегированный доступ в систему через SSH. После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+. URL: https://www.cybereason.com/blog/new-pervasive-worm-exploitin... Новость: https://www.opennet.ru/opennews/art.shtml?num=50870

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability) 
> администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей 
> критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) 
> в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются 
> выполнения своего кода с правами root и устанавливают на сервер вредоносное 
> ПО для майнинга криптовалют.

> В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html) 
> доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% 
> (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% 
> (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса  Shodan потенциально 
> уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые 
> не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн 
> потенциально уязвимых серверов размещены в США, 192 тысячи в России.

> Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе 
> были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), 
>  Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html), 
> openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux 
> (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), 
> EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе 
> поверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, 
> что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов 
> и убедиться в остутствии дополнительных ключей в каталоге /root/.ssh. Об атаке 
> также может свидетельствовать наличие в логе межсетевого экрана активности с хостов 
> an7kmd2wp4xo7hpr.tor2web.su,        an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, 
> которые используются для в процессе загрузки вредоносного ПО.

> Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 
> 9 июня. К 13 июля атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) 
> массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. 
> После эксплуатации уязвимости через шлюзы  tor2web со скрытого сервиса Tor 
> (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH, меняет его 
> настройки (разрешает вход с root) и устанавливает для пользователя root RSA-ключ 
> (https://gist.github.com/aserper/e36d382668c6cf2c996c5143025097c0#file-gistfile1-txt), 
> предоставляющий привилегированный доступ в систему через SSH.

> После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых 
> серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые 
> удаляются в случае выявления. На последнем этапе загружается и прописывается в 
> crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является 
> zip-архивом с паролем  "no-password"), в котором упакован исполняемый файл в 
> формате ELF для Linux с Glibc 2.7+.

> URL: https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50870

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру