Milhões de servidores de correio Exim não corrigidas estão agora sob ataque ativo

Os cibercriminosos estão agora atacando ativamente servidores de correio que usam Exim para o seu trabalho para explorar uma vulnerabilidade recentemente descoberta no software.

UMAs junho 2019, Exim foi fixada em quase 57% (507,389) de todos os servidores de correio que eram visíveis na Internet (de acordo com alguns dados, de fato, o número de instalações Exim excede este valor por dez vezes e consistiu 5.4 milhão).

Como Trojan-Killer escreveu: 57% de correio-servidores têm vulnerabilidade crítica

Isto é um CVE-2019-10149 vulnerabilidade, também conhecido como "Return of the Wizard”, que afeta versões Exim de 4.87 para 4.91. A vulnerabilidade permite que um atacante remoto / local para lançar comandos no servidor de correio com privilégios de superusuário.

De acordo com explorer Freddie Leeman, a primeira onda de ataques começou no dia 09 de junho.

Freddie Leeman
Freddie Leeman

“Durante a campanha, um determinado grupo de hackers começaram a atacar servidores de correio a partir do C & servidor C localizado na Internet, e nos dias seguintes começou a experimentar com métodos operacionais, mudar o tipo de malware e roteiros baixado para servidores infectados”, – informou sobre o incidente Freddie Leeman.

Quase ao mesmo tempo, foi registada uma outra onda de ataques, organizado por um outro grupo. De acordo com especialistas IB, esta campanha é mais complexa do que a descrita acima e continua a evoluir.

Magni R. Sigurdsson
Magni R. Sigurdsson

“O objetivo imediato da crise atual é criar um backdoor para os servidores MTA baixando um shell script que adiciona uma chave SSH para a conta root,” – Magni R. Sigurdsson, um pesquisador de segurança da Cyren disse

O script em si localizado em um servidor de rede Tor, tornando quase impossível para descobrir sua origem. A maioria dos sistemas de hackers de ataque com base no Red Hat Enterprise Linux (RHEL), Debian, openSUSE e Alpine Linux OSs.

De acordo com especialistas de segurança da informação, a segunda campanha também usa um sem-fim de espalhar a infecção para outros servidores de correio.

Além disso a porta das traseiras, os atacantes baixar programas de mineração criptomoeda aos servidores comprometidos.

Para se proteger contra ataques, proprietários de servidores vulneráveis ​​são altamente recomendados para atualizar para a nova versão do Exim – 4.92.

Fonte: https://www.zdnet.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixe uma resposta