Hjem » Nyheder » Millioner af unpatched Exim mailservere er nu under aktiv angreb

Millioner af unpatched Exim mailservere er nu under aktiv angreb

Cyberkriminelle er nu aktivt angribe mail-servere, der bruger Exim for deres arbejde for at udnytte en sårbarhed for nylig opdaget i software.

ENs af juni 2019, Exim blev indstillet til næsten 57% (507,389) af alle mail-servere, der var synlig på internettet (ifølge nogle data, faktisk, antallet af Exim installationer overstiger dette tal med ti gange og bestod 5.4 million).

Som Trojan-Killer skrev: 57% af mail-servere har kritisk sårbarhed

Dette er en CVE-2019-10.149 sårbarhed, også kendt som "Return of the Wizard”, som påvirker Exim versioner fra 4.87 til 4.91. Sårbarheden tillader en fjernbetjening / lokal hacker at lancere kommandoer på mailserveren med superbruger privilegier.

Ifølge opdagelsesrejsende Freddie Leeman, den første bølge af angreb begyndte den 9. juni.

Freddie Leeman
Freddie Leeman

”I løbet af kampagnen, en vis hacker gruppe begyndte at angribe mail-servere fra C & C-server på internettet, og i de følgende dage begyndte at eksperimentere med driftsmetoder, ændre typen af ​​malware og scripts downloades til inficerede servere”, – rapporterede om hændelsen Freddie Leeman.

På næsten samme tid, blev indspillet en anden bølge af angreb, organiseret af en anden gruppe. Ifølge IB eksperter, denne kampagne er mere kompleks end den, der er beskrevet ovenfor, og fortsætter med at udvikle sig.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Det umiddelbare formål med den aktuelle angreb er at skabe en bagdør ind i MTA servere ved at downloade en shell script, der tilføjer en SSH nøgle til root-kontoen,” – Magni R. Sigurdsson, en sikkerhed forsker fra Cyren fortalt

Scriptet selv placeret på en server af Tor-netværket, hvilket gør det næsten umuligt at finde ud af sin oprindelse. De fleste hackere angreb systemer baseret på Red Hat Enterprise Linux (RHEL), Debian, openSUSE og Alpine Linux operativsystemer.

LÆS  På GitHub udgivet en detaljeret analyse af BlueKeep sårbarhed, der forenkler oprettelsen af ​​exploits

Ifølge informationssikkerhed specialister, den anden kampagne bruger også en orm at sprede infektionen til andre mail-servere.

Ud over bagdøren, angriberne downloade cryptocurrency minedrift programmer til de kompromitterede servere.

For at beskytte mod angreb, ejere af sårbare servere er stærkt anbefales at opgradere til den nye version af Exim – 4.92.

Kilde: https://www.zdnet.com

[i alt: 0    Gennemsnit: 0/5]

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

Usædvanlige dropper af Agent Tesla

Den berømte infostealer ”Agent tesla” har en usædvanlig dropper

Cisco Talos discussed a malicious campaign aimed at stealing user credentials and other important information. …

NextCry angriber NextCloud opbevaring

NextCry ransomware angreb NextCloud cloud storage

NextCloud brugere stod over for et alvorligt problem. New NextCry ransomware attacks NextCloud cloud storage and destroys

Skriv et svar