Hjem » Nyheter » Millioner av unpatched Exim mailservere er nå under aktiv angrep

Millioner av unpatched Exim mailservere er nå under aktiv angrep

Nettkriminelle er nå aktivt angripe postservere som bruker Exim for sitt arbeid for å utnytte en sårbarhet nylig oppdaget i programvare.

ENs av juni 2019, Exim ble satt på nesten 57% (507,389) av alle e-postservere som var synlig på Internett (i henhold til noen data, faktisk, antall Exim installasjoner overstiger dette tallet med ti ganger og besto 5.4 million).

Som Trojan-Killer skrev: 57% av post-servere har alvorlig sikkerhetsbrudd

Dette er en CVE-2019-10149 sårbarhet, også kjent som "Return of the Wizard”, som påvirker Exim versjoner fra 4.87 til 4.91. Sårbarheten gjør at en ekstern / lokal angriper å lansere kommandoer på mail server med superbruker rettigheter.

Ifølge explorer Freddie Leeman, den første bølgen av angrep begynte 9. juni.

Freddie Leeman
Freddie Leeman

“Under kampanjen, en viss hackere gruppe begynte å angripe postservere fra C- & C-server på internett, og i de følgende dagene begynte å eksperimentere med driftsmetoder, endring av type malware og skript lastet ned til infiserte servere”, – rapporterte om hendelsen Freddie Leeman.

På nesten samme tid, ble registrert en annen bølge av angrep, organisert av en annen gruppe. Ifølge IB eksperter, denne kampanjen er mer kompleks enn det som er beskrevet ovenfor og fortsetter å utvikle seg.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Den umiddelbare Formålet med den nåværende angrep er å skape en bakdør til MTA-servere ved å laste ned en shell-skript som legger en SSH nøkkel til roten konto,” – Magni R. Sigurdsson, en sikkerhetsforsker fra Cyrén fortalt

Manuset selv ligger på en server Tor-nettverket, noe som gjør det nesten umulig å finne ut sin opprinnelse. De fleste hackere angripe systemer basert på Red Hat Enterprise Linux (RHEL), Debian, opensuse og Alpine Linux operativsystemer.

LESE  Ransomware Unistellar ødelagt 12 tusen databaser i MongoDB

Ifølge informasjonssikkerhetsspesialister, den andre kampanjen bruker også en orm å spre smitte til andre e-postservere.

I tillegg til bakdør, angrip laste kryptovaluta gruve programmer til kompromitterte servere.

For å beskytte mot angrep, Eierne av sårbare servere er sterkt anbefalt å oppgradere til den nye versjonen av Exim – 4.92.

Kilde: https://www.zdnet.com

[Totalt:0    Gjennomsnitt:0/5]

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

Smominru Botnet sprer seg raskt raskt

Smominru botnet sprer seg raskt og hacks løpet 90 tusen datamaskiner hver måned

Kryptovaluta gruvedrift og identitetstyveri botnet Smominru (også kjent som Ismo) began to spread incredibly

TFlower ransomware bruker RDP

Forskere sier om økende aktivitet TFlower, en annen ransomware som bruker RDP

Ifølge piper Computer, aktiviteten av TFlower, en ransomware som bruker RDP og er …

Legg igjen et svar