Hjem » Nyheder » Millioner af unpatched Exim mailservere er nu under aktiv angreb

Millioner af unpatched Exim mailservere er nu under aktiv angreb

Cyberkriminelle er nu aktivt angribe mail-servere, der bruger Exim for deres arbejde for at udnytte en sårbarhed for nylig opdaget i software.

ENs af juni 2019, Exim blev indstillet til næsten 57% (507,389) af alle mail-servere, der var synlig på internettet (ifølge nogle data, faktisk, antallet af Exim installationer overstiger dette tal med ti gange og bestod 5.4 million).

Som Trojan-Killer skrev: 57% af mail-servere har kritisk sårbarhed

Dette er en CVE-2019-10.149 sårbarhed, også kendt som "Return of the Wizard”, som påvirker Exim versioner fra 4.87 til 4.91. Sårbarheden tillader en fjernbetjening / lokal hacker at lancere kommandoer på mailserveren med superbruger privilegier.

Ifølge opdagelsesrejsende Freddie Leeman, den første bølge af angreb begyndte den 9. juni.

Freddie Leeman
Freddie Leeman

”I løbet af kampagnen, en vis hacker gruppe begyndte at angribe mail-servere fra C & C-server på internettet, og i de følgende dage begyndte at eksperimentere med driftsmetoder, ændre typen af ​​malware og scripts downloades til inficerede servere”, – rapporterede om hændelsen Freddie Leeman.

På næsten samme tid, blev indspillet en anden bølge af angreb, organiseret af en anden gruppe. Ifølge IB eksperter, denne kampagne er mere kompleks end den, der er beskrevet ovenfor, og fortsætter med at udvikle sig.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Det umiddelbare formål med den aktuelle angreb er at skabe en bagdør ind i MTA servere ved at downloade en shell script, der tilføjer en SSH nøgle til root-kontoen,” – Magni R. Sigurdsson, en sikkerhed forsker fra Cyren fortalt

Scriptet selv placeret på en server af Tor-netværket, hvilket gør det næsten umuligt at finde ud af sin oprindelse. De fleste hackere angreb systemer baseret på Red Hat Enterprise Linux (RHEL), Debian, openSUSE og Alpine Linux operativsystemer.

LÆS  Forskeren fundet en hovedparten af ​​malware blandt Firefox add-ons, der gemmer sig bag navnet på Adobe og andre kendte virksomheder

Ifølge informationssikkerhed specialister, den anden kampagne bruger også en orm at sprede infektionen til andre mail-servere.

Ud over bagdøren, angriberne downloade cryptocurrency minedrift programmer til de kompromitterede servere.

For at beskytte mod angreb, ejere af sårbare servere er stærkt anbefales at opgradere til den nye version af Exim – 4.92.

Kilde: https://www.zdnet.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Extenbro Trojan

Extenbro Trojan erstatter DNS og blokerer adgang til antivirus sites

Malwarebytes Labs specialists discovered Extenbro Trojan, which not only replaces DNS for displaying advertisements, men …

GandCrab hovednøgler

FBI frigivet hovednøgler at dekryptere alle Gandcrab versioner

The FBI has released master keys to decrypt files affected by Gandcrab ransomware versions 4, …

Skriv et svar