Exim-servere, der anslås til at køre næsten 57% af internet-e-mail-servere, er nu under en tung byge af angreb fra hacker-grupper, der forsøger at udnytte en af de seneste sikkerhedshul i for at tage sig af sårbare servere, ZDNet har lært.
Mindst to hacker grupper er blevet identificeret at udføre angreb, der opererer fra en offentlig internet-server, og man bruger en server, der befinder sig på den mørke web.
Tilbage i Guiden – CVE-2019-10149
Begge grupper er ved hjælp af en udnyttelse af CVE-2019-10149, et sikkerhedshul, som blev offentliggjort den 5 juni.
Den sårbarhed, med tilnavnet “Return of the WIZard”, giver mulighed for eksternt beliggende fjernangribere at sende ondsindede e-mails til sårbare Exim servere og køre skadelig kode under Exim-proces ” adgang niveau, som på de fleste servere er root.
På grund af det store antal af Exim-servere, der er installeret i øjeblikket på internettet-anslået til et sted mellem 500.000 og 5,4 millioner — udnyttelse forsøg var meget som forventet.
Første gruppe og den første bølge af angreb
I henhold til self-beskrevet sikkerhed entusiast Freddie Leeman, den første bølge af angreb i gang på 9 juni, når den første hacker-gruppen startede sprængning exploits fra en kommando-og kontrol-server, der ligger på den klare web, på http://173[.]212.214.137/s.
I løbet af de efterfølgende dage, denne gruppe har udviklet sig sine angreb, ændrer type af malware og scripts, det ville hente på inficerede værter; et tegn på at de stadig var ved at eksperimentere med deres egne angreb kæde, og havde ikke fast på en bestemt udnytte metode og endelige mål.
Men på trods af den gruppe er uklart angreb mønstre, disse angreb var ikke fyre, at i det mindste nogle ofre.
Fuck, min største max fik ejet af denne. God ting jeg har daglig backup.
— Neal Walfield (@nwalfield) 11 juni 2019
Anden gruppe kommer ind i folden
Parallelt til denne gruppe, en anden bølge af angreb foretaget af en anden gruppe blev også set komme i gang på 10 juni, Magni R. Sigurðsson, en sikkerhedsekspert hos Cyren fortalte ZDNet i dag i en e-mail.
“Det umiddelbare mål for det nuværende angreb er at skabe en bagdør ind i MTA servere ved at downloade et shell script, der tilføjer en SSH-nøgle til root-konto,” Sigurðsson fortalte ZDNet.
Ifølge forskeren, angrebet skridt er som følger:
1) angriberne sende en e-mail, og på den SMTP-dialogen af, at e-mail, RCPT_TO felt får en e-mail-adresse, der indeholder et “lokalpart”, der er skabt af hackere til at udnytte Exim sårbarhed. Specielt angrebet bruger en specielt udformet Konvolut-Fra (532.MailFrom), der ligner den nedenfor, der vil downloade et Shell script, og som direkte udfører det.
Billede: Cyren (vedlagt)
2) Den inficerede server Exim, der udfører lokalpart i deres eget bruger-forbindelse, når de modtager en e-mail.
3), Da folk stadig kører Exim som root, det vil så hente et shell script, der vil open SSH adgang til MTA-server via en offentlig nøgle til root brugeren.
“Scriptet i sig selv er vært for i Tor-netværket, så attribution er næsten umuligt,” Sigurðsson fortalte ZDNet.
“De er rettet mod Red Hat Enterprise Linux (RHEL), Debian, openSUSE og Alpine Linux-operativsystemer.”
Denne anden bølge af angreb, mere avanceret end den første, også blev spottet i dag af Cybereason Hovedet af Sikkerhed, Forskning Amit Serper, der bekræfter, at gruppen havde ikke blot fortsatte med at operere, men også havde forstærket sine angreb nok til at poppe op på honeypots af andre vagtselskaber, så godt.
1/n VIGTIGT, TRÅD: en person er aktivt udnytter sårbare exim-servere. Angriberne ved hjælp af, at exim vuln at få permanent root-adgang via ssh til dem, der udnyttede servere ved hjælp af et script, der er uploadet til serveren gennem at udnytte.
— Amit Serper (@0xAmit) 13 juni 2019
For nu, er den eneste server Exim-ejere kan gøre, er at opdatere til version 4.92 så hurtigt som muligt, og forhindre ethvert angreb fra det påvirker deres e-mail-servere.
Relaterede malware og it-kriminalitet dækning:
Gamle ICEFOG APT malware opdaget igen i nye bølge af attacksFIN8 hackere vender tilbage efter to år med angreb mod gæstfrihed sectorRansomware stopper produktionen for dage ved større fly dele manufacturerMicrosoft advarer om e-mail-spam kampagne misbruger Kontor vulnerability8 år senere, er sagen mod Mariposa malware banden bevæger sig fremad i USTwo hacking grupper, som er ansvarlige for den enorme stigning i hacket Magento 2.x storesThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO