Los ciberdelincuentes están atacando activamente servidores de correo que utilizan Exim por su trabajo para aprovechar una vulnerabilidad recientemente descubierta en el software.
UNAs junio 2019, Exim se fijó en casi 57% (507,389) de todos los servidores de correo que eran visibles en Internet (de acuerdo con algunos datos, de hecho, el número de instalaciones de Exim es superior a esta cifra por diez veces y consistió 5.4 millón).Como escribió Trojan-Killer: 57% de los servidores de correo tienen vulnerabilidad crítica
Esto es un CVE-desde 2.019 hasta 10.149 vulnerabilidad, también conocido como "El retorno del asistente”, que afecta a las versiones Exim desde 4.87 a 4.91. La vulnerabilidad permite a un atacante remoto / local para lanzar comandos en el servidor de correo con privilegios de superusuario.
De acuerdo con el explorador Freddie Leeman, la primera ola de ataques comenzó el 9 de junio.
“Durante la campaña, un cierto grupo de hackers comenzó a atacar a los servidores de correo de la C & servidor C se encuentra en Internet, y en los siguientes días comenzó a experimentar con métodos de operación, cambiar el tipo de malware y los scripts descargados de los servidores infectados”, – informó sobre el incidente Freddie Leeman.
Casi al mismo tiempo, se registró una nueva ola de ataques, organizada por otro grupo. Según los expertos del IB, esta campaña es más complejo que el descrito anteriormente y sigue evolucionando.
“El objetivo inmediato del ataque actual es crear una puerta trasera en los servidores MTA mediante la descarga de un script de shell que añade una clave SSH a la cuenta de root,” – R Magni. Sigurdsson, un investigador de seguridad de Cyren dijo
El guión en sí encuentra en un servidor de red Tor, por lo que es casi imposible averiguar su origen. La mayoría de los sistemas de ataque piratas informáticos basados en Red Hat Enterprise Linux (RHEL), Debian, openSUSE y Alpine Linux OS.
De acuerdo con los especialistas en seguridad de la información, la segunda campaña también utiliza un gusano de transmitir la infección a otros servidores de correo.
Además de la puerta trasera, los atacantes programas de descarga mineras criptomoneda a los servidores comprometidos.
Para protegerse contra ataques, propietarios de los servidores vulnerables son muy recomendables para actualizar a la nueva versión de Exim – 4.92.
Fuente: https://www.zdnet.com
