Exim server, stimato per l’esecuzione di quasi il 57% di internet: e-mail server, ora sono sotto un pesante fuoco di fila di attacchi da parte di gruppi di hacker, nel tentativo di sfruttare un recente falla di sicurezza per assumere server vulnerabile, ZDNet ha imparato.
Almeno due gruppi di hacker, sono stati identificati svolgimento di attacchi, operativo dal server internet, e uno che utilizza un server di dark web.
Il ritorno del mago – CVE-2019-10149
Entrambi i gruppi sono utilizzando un exploit CVE-2019-10149, una falla di sicurezza che è stata divulgata pubblicamente il 5 giugno.
La vulnerabilità, soprannominato “il Ritorno del Mago”, permette remoto agli hacker di inviare e-mail malevoli vulnerabili Exim server ed eseguire codice dannoso sotto il Exim processo di’ livello di accesso, che sulla maggior parte dei server è root.
A causa dell’enorme numero di Exim server che sono attualmente installati su internet — stimato da qualche parte tra 500.000 e 5,4 milioni di — sfruttamento tentativi sono stati molto atteso.
Primo gruppo e la prima ondata di attacchi
Secondo auto-descritto sicurezza appassionato di Freddie Leeman, la prima ondata di attacchi iniziato il 9 giugno, quando il primo gruppo di hacker iniziato a saltare fuori exploit da un comando-e-controllo server che si trova sul web, a http://173[.]212.214.137/s.
Nei giorni successivi, questo gruppo evoluti i suoi attacchi, cambiare il tipo di malware e script sarebbe il download su host infetti; un segno che stavano ancora sperimentando con il loro attacco a catena e non aveva depositato su un particolare sfruttare il metodo e l’obiettivo finale.
Ma nonostante il gruppo è chiaro pattern di attacco, questi attacchi non erano duds, fare almeno alcune vittime.
Cazzo, la mia casella principale ha di proprietà. Meno male che ho i backup giornalieri.
— Neal Walfield (@nwalfield) 11 giugno 2019
Secondo gruppo entra in piega
Parallelamente a questo gruppo, una seconda ondata di attacchi effettuati da un secondo gruppo è stato visto anche che prenderà il via il 10 giugno, Magni R. Sigursson, un ricercatore di sicurezza a Cyren detto a ZDNet oggi in una e-mail.
“L’obiettivo immediato dell’attacco corrente è quello di creare una backdoor nel MTA server scaricando uno script di shell che aggiunge una chiave SSH per l’account di root,” Sigursson detto a ZDNet.
Secondo il ricercatore, l’attacco, i passi sono i seguenti:
1) Gli attaccanti inviare una e-mail, e nel dialogo SMTP di email, il RCPT_TO campo ottiene un indirizzo e-mail che contiene un “localpart” predisposto dagli aggressori per sfruttare la Exim vulnerabilità. In particolare, l’attacco usa appositamente predisposti Busta-Da (532.MailFrom) che sembra il seguito, è necessario scaricare uno script di Shell e direttamente esegue.
Immagine: Cyren (in dotazione)
2) infetto Exim server esegue la parte locale nel proprio contesto utente, quando si riceve l’e-mail.
3) Dal momento che le persone sono ancora in esecuzione Exim come root, poi scaricare uno script di shell che aprirà l’accesso SSH al server MTA tramite una chiave pubblica dell’utente root.
“La sceneggiatura di per sé, è ospitato nella rete Tor, quindi, l’attribuzione è quasi impossibile,” Sigursson detto a ZDNet.
“Stanno prendendo di mira Red Hat Enterprise Linux (RHEL), Debian, openSUSE Alpino e di sistemi operativi Linux.”
Questa seconda ondata di attacchi, più avanzato rispetto al primo, sono stati avvistati oggi Cybereason Capo della Sicurezza Ricerca Amit Serper, confermando che il gruppo non solo ha continuato ad operare, ma aveva anche amplificato i suoi attacchi abbastanza pop-up sullo honeypot di altre aziende di sicurezza come bene.
1/n IMPORTANTE, il THREAD: Qualcuno sta sfruttando attivamente vulnerabili exim server. Gli aggressori sono risorse che exim vuln di guadagno permanente l’accesso root tramite ssh a quelli sfruttati server utilizzando uno script caricati su che server attraverso questo exploit.
— Amit Serper (@0xAmit) 13 giugno 2019
In un post pubblicato dopo la pubblicazione di questo articolo, Serper anche confermato che questa seconda campagna comprendeva anche il codice per la diffusione di worm componente che si propagava la Exim sfruttare per altri server, e che gli hacker hanno anche scaricato e installato un cryptocurrency minatore sul server compromessi.
Per ora, l’unica cosa Exim server proprietari possono fare è aggiornare alla versione 4.92 il più presto possibile, e prevenire eventuali attacchi dall’impatto con i loro server di posta.
Articolo aggiornato alle 7:30 pm ET con link a Cybereason analisi.
Correlati malware e attacchi informatici di copertura:
Antica ICEFOG APT malware avvistata di nuovo in nuova ondata di attacksFIN8 hacker ritorno dopo due anni con gli attacchi contro ospitalità sectorRansomware ferma la produzione per giorni in occasione di importanti parti di aeroplano manufacturerMicrosoft avverte di e-mail di spam campagna di abuso di Ufficio vulnerability8 anni più tardi, il caso contro la Mariposa malware gang si muove in avanti nel USTwo gruppi di hacker responsabile di picco in hacked Magento 2.x storesThe scuro web è più piccolo, e può essere meno pericoloso di quanto si pensi TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO