Millioner av unpatched Exim mailservere er nå under aktiv angrep

Exim serveren under angrep

Nettkriminelle er nå aktivt angripe postservere som bruker Exim for sitt arbeid for å utnytte en sårbarhet nylig oppdaget i programvare.

ENs av juni 2019, Exim ble satt på nesten 57% (507,389) av alle e-postservere som var synlig på Internett (i henhold til noen data, faktisk, antall Exim installasjoner overstiger dette tallet med ti ganger og besto 5.4 million).

Som Trojan-Killer skrev: 57% av post-servere har alvorlig sikkerhetsbrudd

Dette er en CVE-2019-10149 sårbarhet, også kjent som "Return of the Wizard”, som påvirker Exim versjoner fra 4.87 til 4.91. Sårbarheten gjør at en ekstern / lokal angriper å lansere kommandoer på mail server med superbruker rettigheter.

Ifølge explorer Freddie Leeman, den første bølgen av angrep begynte 9. juni.

Freddie Leeman
Freddie Leeman

“Under kampanjen, en viss hackere gruppe begynte å angripe postservere fra C- & C-server på internett, og i de følgende dagene begynte å eksperimentere med driftsmetoder, endring av type malware og skript lastet ned til infiserte servere”, – rapporterte om hendelsen Freddie Leeman.

På nesten samme tid, ble registrert en annen bølge av angrep, organisert av en annen gruppe. Ifølge IB eksperter, denne kampanjen er mer kompleks enn det som er beskrevet ovenfor og fortsetter å utvikle seg.

Magni R. Sigurdsson
Magni R. Sigurdsson

“Den umiddelbare Formålet med den nåværende angrep er å skape en bakdør til MTA-servere ved å laste ned en shell-skript som legger en SSH nøkkel til roten konto,” – Magni R. Sigurdsson, en sikkerhetsforsker fra Cyrén fortalt

Manuset selv ligger på en server Tor-nettverket, noe som gjør det nesten umulig å finne ut sin opprinnelse. De fleste hackere angripe systemer basert på Red Hat Enterprise Linux (RHEL), Debian, opensuse og Alpine Linux operativsystemer.

Ifølge informasjonssikkerhetsspesialister, den andre kampanjen bruker også en orm å spre smitte til andre e-postservere.

I tillegg til bakdør, angrip laste kryptovaluta gruve programmer til kompromitterte servere.

For å beskytte mot angrep, Eierne av sårbare servere er sterkt anbefalt å oppgradere til den nye versjonen av Exim – 4.92.

Kilde: https://www.zdnet.com

Foto av Polina Lisovskaya

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg
Legg igjen et svar

Legg igjen et svar

Tilbake til toppen-knappen