Millones de servidores de correo Exim sin parches están ahora bajo ataque activo

Los ciberdelincuentes están atacando activamente servidores de correo que utilizan Exim por su trabajo para aprovechar una vulnerabilidad recientemente descubierta en el software.

UNAs junio 2019, Exim se fijó en casi 57% (507,389) de todos los servidores de correo que eran visibles en Internet (de acuerdo con algunos datos, de hecho, el número de instalaciones de Exim es superior a esta cifra por diez veces y consistió 5.4 millón).

Como escribió Trojan-Killer: 57% de los servidores de correo tienen vulnerabilidad crítica

Esto es un CVE-desde 2.019 hasta 10.149 vulnerabilidad, también conocido como "El retorno del asistente”, que afecta a las versiones Exim desde 4.87 a 4.91. La vulnerabilidad permite a un atacante remoto / local para lanzar comandos en el servidor de correo con privilegios de superusuario.

De acuerdo con el explorador Freddie Leeman, la primera ola de ataques comenzó el 9 de junio.

Freddie Leeman
Freddie Leeman

“Durante la campaña, un cierto grupo de hackers comenzó a atacar a los servidores de correo de la C & servidor C se encuentra en Internet, y en los siguientes días comenzó a experimentar con métodos de operación, cambiar el tipo de malware y los scripts descargados de los servidores infectados”, – informó sobre el incidente Freddie Leeman.

Casi al mismo tiempo, se registró una nueva ola de ataques, organizada por otro grupo. Según los expertos del IB, esta campaña es más complejo que el descrito anteriormente y sigue evolucionando.

R Magni. Sigurdsson
R Magni. Sigurdsson

“El objetivo inmediato del ataque actual es crear una puerta trasera en los servidores MTA mediante la descarga de un script de shell que añade una clave SSH a la cuenta de root,” – R Magni. Sigurdsson, un investigador de seguridad de Cyren dijo

El guión en sí encuentra en un servidor de red Tor, por lo que es casi imposible averiguar su origen. La mayoría de los sistemas de ataque piratas informáticos basados ​​en Red Hat Enterprise Linux (RHEL), Debian, openSUSE y Alpine Linux OS.

De acuerdo con los especialistas en seguridad de la información, la segunda campaña también utiliza un gusano de transmitir la infección a otros servidores de correo.

Además de la puerta trasera, los atacantes programas de descarga mineras criptomoneda a los servidores comprometidos.

Para protegerse contra ataques, propietarios de los servidores vulnerables son muy recomendables para actualizar a la nueva versión de Exim – 4.92.

Fuente: https://www.zdnet.com

Acerca de Trojan Killer

Trojan Killer llevar portátil en su dispositivo de memoria. Asegúrese de que usted es capaz de ayudar a su PC resistir cualquier amenaza cibernética donde quiera que vaya.

también puedes ver

MageCart en la plataforma de nube Heroku

Los investigadores encontraron Varios MageCart Web skimmers En Heroku Cloud Platform

Investigadores de Malwarebytes informaron sobre la búsqueda de varios skimmers MageCart web en la plataforma de nube Heroku …

Android Spyware CallerSpy

máscaras spyware CallerSpy como una aplicación de chat Android

expertos de Trend Micro descubrieron que el malware CallerSpy, que enmascara como una aplicación de chat y Android, …

Deja una respuesta