Huis » Nieuws » Miljoenen ongepatchte Exim mail servers zijn nu onder actieve aanval

Miljoenen ongepatchte Exim mail servers zijn nu onder actieve aanval

Cybercriminelen zijn nu actief aanvallende mailservers die Exim gebruiken voor hun werk om een ​​kwetsbaarheid onlangs ontdekt in de software te exploiteren.

EENs juni 2019, Exim werd vastgesteld op bijna 57% (507,389) van alle mailservers die zichtbaar waren op het internet (volgens sommige data, eigenlijk, het aantal Exim installaties boven dit cijfer met tienmaal bestond 5.4 miljoen).

Als Trojan-Killer schreef: 57% van mail-servers hebben kritieke kwetsbaarheid

Dit is een CVE-2019-10.149 kwetsbaarheid, ook gekend als "Terugkeer van de wizard”, die Exim versies van invloed 4.87 naar 4.91. De kwetsbaarheid kan een lokale / op afstand aanvaller om commando's te lanceren op de mailserver met privileges.

Volgens explorer Freddie Leeman, de eerste golf van aanvallen begon op 9 juni.

Freddie Leeman
Freddie Leeman

“Tijdens de campagne, een zekere hacker groep begonnen aan te vallen mailservers van de C & C server op het internet, en in de volgende dagen begon te experimenteren met werkwijzen, het veranderen van het type malware en scripts gedownload naar besmette servers”, – gerapporteerd over het incident Freddie Leeman.

Op bijna hetzelfde moment, opgenomen een golf van aanslagen, georganiseerd door een andere groep. Volgens de IB experts, Deze actie is complexer dan hierboven beschreven en verder ontwikkelt.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Het onmiddellijke doel van de huidige aanval is om een ​​backdoor in de MTA servers maken door het downloaden van een shell script dat een SSH-sleutel toevoegt aan de root-account,” – Magni R. Sigurdsson, een security-onderzoeker van Cyren verteld

Het script zelf op een server van Tor-netwerk, waardoor het bijna onmogelijk om uit te vinden zijn oorsprong. De meeste hackers aanval op basis van Red Hat Enterprise Linux (RHEL), Debian, openSUSE en Alpine Linux besturingssystemen.

LEZEN  57% van mail-servers hebben kritieke kwetsbaarheid

Volgens informatie beveiligingsspecialisten, de tweede campagne maakt ook gebruik van een worm om de infectie te verspreiden naar andere mailservers.

In aanvulling op de achterdeur, de aanvallers downloaden cryptogeld mijnbouw programma's om de gecompromitteerde servers.

Ter bescherming tegen aanvallen, eigenaren van kwetsbare servers zijn sterk aanbevolen om te upgraden naar de nieuwe versie van Exim – 4.92.

Bron: https://www.zdnet.com

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Smominru Botnet verspreidt zich snel snel

Smominru botnet snel verspreidt en hacks op 90 duizend computers per maand

Cryptogeld mijnbouw en identiteitsdiefstal botnet Smominru (ook bekend als Ismo) began to spread incredibly

TFlower ransomware maakt gebruik van RDP

Onderzoekers zeggen over het kweken van activiteit van TFlower, andere ransomware dat RDP gebruikt

Volgens Bleeping Computer, de activiteit van TFlower, een ransomware die RDP gebruikt en is …

Laat een antwoord achter