Exim servers, geschat op bijna 57% van de internet e-mail servers, zijn nu onder een zwaar spervuur van aanvallen van hackers groepen proberen om misbruik te maken van recente lek in volgorde over te nemen kwetsbare servers, ZDNet heeft geleerd.
Ten minste twee hacker groepen zijn geïdentificeerd uitvoeren van aanvallen, één van een openbare internet-server en één met een server die zich op de donkere web.
De terugkeer van de WIZard – CVE-2019-10149
Beide groepen worden met behulp van een exploit voor CVE-2019-10149, een lek dat werd in het openbaar op 5 juni.
De kwetsbaarheid, die de bijnaam “de Terugkeer van de WIZard” kunt op afstand gelegen aanvallers te sturen kwaadaardige e-mails naar kwetsbare Exim servers en kwaadaardige code uitvoeren onder de Exim proces’ toegangsniveau, die op de meeste servers is de wortel.
Vanwege het grote aantal van Exim servers die momenteel zijn geïnstalleerd op het internet — geschat op ergens tussen de 500.000 en 5,4 miljoen — exploitatie pogingen werden zeer veel verwacht.
Eerste groep en de eerste golf van aanvallen
Volgens de zelf-beschreven security liefhebber Freddie Leeman, de eerste golf van aanvallen begonnen op 9 juni, wanneer de eerste hacker groep begon stralen uit heldendaden van een command-and-control-server zich op de duidelijke website, op http://173[.]212.214.137/s.
Tijdens de daaropvolgende dagen, deze groep is geëvolueerd zijn aanvallen, het veranderen van het type van malware en scripts zou het downloaden van geïnfecteerde hosts; een teken dat ze nog steeds aan het experimenteren met hun eigen aanval keten en had niet afgerekend op een bepaalde exploit methode en uiteindelijke doel.
Maar ondanks de groep is onduidelijk aanval patronen, deze aanvallen waren niet van de spullen, het maken van ten minste een aantal slachtoffers.
Fuck, mijn belangrijkste vak handen kreeg door dit. Goede zaak ik heb de dagelijkse back-ups.
— Neal Walfield (@nwalfield) 11 juni 2019
De tweede groep gaat de vouw
Parallel aan deze groep, een tweede golf van aanslagen uitgevoerd door een tweede groep werd ook gezien gang te krijgen op juni 10, Magni R. Sigurðsson, een security-onderzoeker bij Cyren vertelde ZDNet vandaag in een e-mail.
“Het onmiddellijke doel van de huidige aanval is het creëren van een backdoor in het MTA-servers door het downloaden van een shell-script dat voegt een SSH sleutel tot het root account” Sigurðsson vertelde ZDNet.
Volgens de onderzoeker, de aanval van de stappen zijn als volgt:
1) De aanvallers stuur een e-mail, en in de SMTP-dialoogvenster van de e-mail, de RCPT_TO veld krijgt een e-mailadres bevat een “deel” gemaakt door de aanvallers misbruik maken van de Exim kwetsbaarheid. Specifiek, de aanval maakt gebruik van een speciaal vervaardigde Envelop-Uit (532.MailFrom) dat eruit ziet als de onderstaande, het downloaden van een Shell-script en direct uitgevoerd.
Afbeelding: Cyren (meegeleverd)
2) De geïnfecteerde Exim-server, voert dat deel in hun eigen context, bij het ontvangen van de e-mail.
3) Omdat de mensen zijn nog steeds actief Exim als root dan zal het downloaden van een shell-script dat zal open SSH toegang tot de MTA server via een openbare sleutel aan de root gebruiker.
“Het script op zich is gehost in het Tor-netwerk, dus attributie is bijna onmogelijk,” Sigurðsson vertelde ZDNet.
“Ze zijn gericht op Red Hat Enterprise Linux (RHEL), Debian, openSUSE en Alpine-Linux operating systemen.”
Deze tweede golf van aanvallen, meer geavanceerd dan de eerste, werden ook gespot vandaag door Cybereason Hoofd van de veiligheidsdienst van het Onderzoek Amit Serper, waarin wordt bevestigd dat de groep had niet alleen blijven werken, maar had ook versterkt zijn aanvallen genoeg om pop-up op de honeypots van andere beveiligingsbedrijven, als goed.
1/n BELANGRIJKE, DRAAD: Iemand is actief in het exploiteren van kwetsbare exim servers. De aanvallers worden met behulp van dat exim vuln te krijgen permanent root toegang via ssh naar die uitgebuit servers met behulp van een script dat is geupload naar de server door die te benutten.
— Amit Serper (@0xAmit) 13 juni 2019
In een blog gepubliceerd na dit artikel de publicatie, Serper ook bevestigd dat deze tweede campagne ook aanbevolen code voor een self-verspreiding van de worm component die zich de Exim exploiteren naar andere servers, en dat hackers ook gedownload en geïnstalleerd, een cryptocurrency mijnwerker op van in gevaar gebrachte servers.
Voor nu, het enige wat Exim server eigenaars kan doen is om te updaten naar versie 4.92 zo spoedig mogelijk, en het voorkomen van eventuele aanvallen van invloed op hun e-mail servers.
Artikel bijgewerkt op 7:30 pm ET met een link naar Cybereason analyse.
Gerelateerde malware en cybercriminaliteit dekking:
Oude ICEFOG APT malware gespot weer in nieuwe golf van attacksFIN8 hackers terugkeer na twee jaar bij aanvallen tegen de gastvrijheid sectorRansomware stopt productie voor dagen op grote vliegtuig onderdelen manufacturerMicrosoft waarschuwt over spam-e-mail campagne misbruik maken van Office vulnerability8 jaar later, in de zaak tegen de Mariposa malware bende naar voren beweegt in de USTwo hacking groepen die verantwoordelijk zijn voor de enorme piek in de gehackte Magento 2.x storesThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO