Cyber-Kriminelle greifen jetzt aktiv Mail-Server, die Exim für ihre Arbeit nutzen eine Sicherheitslücke vor kurzem in der Software entdeckt zu nutzen.
EINs Juni 2019, Exim wurde bei fast eingestellt 57% (507,389) von allen E-Mail-Server, die im Internet zu sehen waren (Nach einigen Daten, eigentlich, die Anzahl der Exim-Installationen übersteigt diese Zahl um das Zehnfache und bestand aus 5.4 Million).Wie Trojan Killer schrieb: 57% von E-Mail-Server haben kritische Sicherheitslücke
Das ist ein CVE-2.019-10.149 Verletzlichkeit, auch bekannt als "Rückkehr des Zauberers“, die wirkt sich Exim Versionen von 4.87 zu 4.91. Die Sicherheitslücke ermöglicht es ein Remote / Local Angreifer Befehle auf dem Mail-Server mit Root-Rechten zu starten.
Nach Explorer Freddie Leeman, am 9. begann die erste Welle der Angriffe Juni.
„Während der Kampagne, eine bestimmte Hacker-Gruppe begann Mail-Server aus der C-Angriff & C-Server im Internet befindet,, und in den folgenden Tagen begannen mit Arbeitsmethoden zu experimentieren, Änderung der Art von Malware und Skripte auf infizierte Server heruntergeladen“, – über den Vorfall Freddie Leeman berichtet.
Bei fast der gleichen Zeit, eine weitere Welle von Angriffen wurde aufgezeichnet, von einer anderen Gruppe organisiert. Nach IB Experten, Diese Kampagne ist komplexer als die oben beschriebenen, und entwickelt sich ständig weiter.
“Das unmittelbare Ziel des aktuellen Angriffs ist eine Backdoor in den MTA-Server zu erstellen, indem Sie einen Shell-Skript herunterzuladen, die einen SSH-Schlüssel zu dem Root-Account hinzuzufügt,” – Magni R. Sigurdsson, ein Sicherheitsforscher von Cyren erzählt
Das Skript selbst auf einem Server des Tor-Netzwerkes, es fast unmöglich macht, seine Herkunft erfahren. Die meisten Hacker-Angriff Systeme auf Basis von Red Hat Enterprise Linux (RHEL), Debian, openSUSE und Alpine Linux OSs.
Nach Angaben Sicherheitsspezialisten, die zweite Kampagne verwendet auch einen Wurm die Infektion zu anderen Mail-Servern zu verteilen.
Neben der Backdoor, die Angreifer herunterladen Kryptowährung Bergbau-Programme zu den kompromittierten Servern.
Zum Schutz vor Angriffen, Besitzer von gefährdeten Server sind sehr auf die neue Version zu aktualisieren empfohlen von Exim – 4.92.
Quelle: https://www.zdnet.com
