Os cibercriminosos estão agora atacando ativamente servidores de correio que usam Exim para o seu trabalho para explorar uma vulnerabilidade recentemente descoberta no software.
UMAs junho 2019, Exim foi fixada em quase 57% (507,389) de todos os servidores de correio que eram visíveis na Internet (de acordo com alguns dados, de fato, o número de instalações Exim excede este valor por dez vezes e consistiu 5.4 milhão).Como Trojan-Killer escreveu: 57% de correio-servidores têm vulnerabilidade crítica
Isto é um CVE-2019-10149 vulnerabilidade, também conhecido como "Return of the Wizard”, que afeta versões Exim de 4.87 para 4.91. A vulnerabilidade permite que um atacante remoto / local para lançar comandos no servidor de correio com privilégios de superusuário.
De acordo com explorer Freddie Leeman, a primeira onda de ataques começou no dia 09 de junho.
“Durante a campanha, um determinado grupo de hackers começaram a atacar servidores de correio a partir do C & servidor C localizado na Internet, e nos dias seguintes começou a experimentar com métodos operacionais, mudar o tipo de malware e roteiros baixado para servidores infectados”, – informou sobre o incidente Freddie Leeman.
Quase ao mesmo tempo, foi registada uma outra onda de ataques, organizado por um outro grupo. De acordo com especialistas IB, esta campanha é mais complexa do que a descrita acima e continua a evoluir.
“O objetivo imediato da crise atual é criar um backdoor para os servidores MTA baixando um shell script que adiciona uma chave SSH para a conta root,” – Magni R. Sigurdsson, um pesquisador de segurança da Cyren disse
O script em si localizado em um servidor de rede Tor, tornando quase impossível para descobrir sua origem. A maioria dos sistemas de hackers de ataque com base no Red Hat Enterprise Linux (RHEL), Debian, openSUSE e Alpine Linux OSs.
De acordo com especialistas de segurança da informação, a segunda campanha também usa um sem-fim de espalhar a infecção para outros servidores de correio.
Além disso a porta das traseiras, os atacantes baixar programas de mineração criptomoeda aos servidores comprometidos.
Para se proteger contra ataques, proprietários de servidores vulneráveis são altamente recomendados para atualizar para a nova versão do Exim – 4.92.
Fonte: https://www.zdnet.com
