Millionen von ungepatchten Exim Mail-Server sind jetzt unter aktivem Angriff

Cyber-Kriminelle greifen jetzt aktiv Mail-Server, die Exim für ihre Arbeit nutzen eine Sicherheitslücke vor kurzem in der Software entdeckt zu nutzen.

EINs Juni 2019, Exim wurde bei fast eingestellt 57% (507,389) von allen E-Mail-Server, die im Internet zu sehen waren (Nach einigen Daten, eigentlich, die Anzahl der Exim-Installationen übersteigt diese Zahl um das Zehnfache und bestand aus 5.4 Million).

Wie Trojan Killer schrieb: 57% von E-Mail-Server haben kritische Sicherheitslücke

Das ist ein CVE-2.019-10.149 Verletzlichkeit, auch bekannt als "Rückkehr des Zauberers“, die wirkt sich Exim Versionen von 4.87 zu 4.91. Die Sicherheitslücke ermöglicht es ein Remote / Local Angreifer Befehle auf dem Mail-Server mit Root-Rechten zu starten.

Nach Explorer Freddie Leeman, am 9. begann die erste Welle der Angriffe Juni.

Freddie Leeman
Freddie Leeman

„Während der Kampagne, eine bestimmte Hacker-Gruppe begann Mail-Server aus der C-Angriff & C-Server im Internet befindet,, und in den folgenden Tagen begannen mit Arbeitsmethoden zu experimentieren, Änderung der Art von Malware und Skripte auf infizierte Server heruntergeladen“, – über den Vorfall Freddie Leeman berichtet.

Bei fast der gleichen Zeit, eine weitere Welle von Angriffen wurde aufgezeichnet, von einer anderen Gruppe organisiert. Nach IB Experten, Diese Kampagne ist komplexer als die oben beschriebenen, und entwickelt sich ständig weiter.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Das unmittelbare Ziel des aktuellen Angriffs ist eine Backdoor in den MTA-Server zu erstellen, indem Sie einen Shell-Skript herunterzuladen, die einen SSH-Schlüssel zu dem Root-Account hinzuzufügt,” – Magni R. Sigurdsson, ein Sicherheitsforscher von Cyren erzählt

Das Skript selbst auf einem Server des Tor-Netzwerkes, es fast unmöglich macht, seine Herkunft erfahren. Die meisten Hacker-Angriff Systeme auf Basis von Red Hat Enterprise Linux (RHEL), Debian, openSUSE und Alpine Linux OSs.

Nach Angaben Sicherheitsspezialisten, die zweite Kampagne verwendet auch einen Wurm die Infektion zu anderen Mail-Servern zu verteilen.

Neben der Backdoor, die Angreifer herunterladen Kryptowährung Bergbau-Programme zu den kompromittierten Servern.

Zum Schutz vor Angriffen, Besitzer von gefährdeten Server sind sehr auf die neue Version zu aktualisieren empfohlen von Exim – 4.92.

Quelle: https://www.zdnet.com

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort