Cyberkriminelle er nu aktivt angribe mail-servere, der bruger Exim for deres arbejde for at udnytte en sårbarhed for nylig opdaget i software.
ENs af juni 2019, Exim blev indstillet til næsten 57% (507,389) af alle mail-servere, der var synlig på internettet (ifølge nogle data, faktisk, antallet af Exim installationer overstiger dette tal med ti gange og bestod 5.4 million).Som Trojan-Killer skrev: 57% af mail-servere har kritisk sårbarhed
Dette er en CVE-2019-10.149 sårbarhed, også kendt som "Return of the Wizard”, som påvirker Exim versioner fra 4.87 til 4.91. Sårbarheden tillader en fjernbetjening / lokal hacker at lancere kommandoer på mailserveren med superbruger privilegier.
Ifølge opdagelsesrejsende Freddie Leeman, den første bølge af angreb begyndte den 9. juni.
”I løbet af kampagnen, en vis hacker gruppe begyndte at angribe mail-servere fra C & C-server på internettet, og i de følgende dage begyndte at eksperimentere med driftsmetoder, ændre typen af malware og scripts downloades til inficerede servere”, – rapporterede om hændelsen Freddie Leeman.
På næsten samme tid, blev indspillet en anden bølge af angreb, organiseret af en anden gruppe. Ifølge IB eksperter, denne kampagne er mere kompleks end den, der er beskrevet ovenfor, og fortsætter med at udvikle sig.
“Det umiddelbare formål med den aktuelle angreb er at skabe en bagdør ind i MTA servere ved at downloade en shell script, der tilføjer en SSH nøgle til root-kontoen,” – Magni R. Sigurdsson, en sikkerhed forsker fra Cyren fortalt
Scriptet selv placeret på en server af Tor-netværket, hvilket gør det næsten umuligt at finde ud af sin oprindelse. De fleste hackere angreb systemer baseret på Red Hat Enterprise Linux (RHEL), Debian, openSUSE og Alpine Linux operativsystemer.
Ifølge informationssikkerhed specialister, den anden kampagne bruger også en orm at sprede infektionen til andre mail-servere.
Ud over bagdøren, angriberne downloade cryptocurrency minedrift programmer til de kompromitterede servere.
For at beskytte mod angreb, ejere af sårbare servere er stærkt anbefales at opgradere til den nye version af Exim – 4.92.
Kilde: https://www.zdnet.com
