Exim servrar, beräknas köra nästan 57% av internet-e-post-servrar, är nu under en tung spärreld av attacker från hackare grupper försöker utnyttja en nyligen säkerhetsbrist i syfte att ta över utsatta servrar, ZDNet har lärt sig.
Minst två hacker grupper har identifierats som utför attacker, ett operativsystem från en offentlig internet-server, och en med hjälp av en server som ligger på den mörka webben.
Tillbaka i Guiden – CVE-2019-10149
Båda grupperna är med en exploit för CVE-2019-10149, en säkerhetsbrist som var offentliggöras den 5 juni.
Sårbarheten, med smeknamnet “Tillbaka i Guiden,” gör distans-läge för angripare utifrån att skicka skadlig e-post till utsatta Exim servrar och köra skadlig kod under Exim processen att få tillgång nivå, som på de flesta servrar är root.
På grund av det stora antalet Exim servrar som är installerade över internet — uppskattas till någonstans mellan 500 000 och 5,4 miljoner — utnyttjande försök var mycket efterlängtade.
Första gruppen och den första vågen av attacker
Enligt self-beskrivs säkerhet entusiasten Freddie Leeman, den första vågen av attacker, som började den 9 juni, när den första hacker-gruppen startade som dånar ut bedrifter från en kommando-och-kontroll-server ligger på klart web, på http://173[.]212.214.137/s.
Under de efterföljande dagarna, denna grupp utvecklades sina attacker, ändra typ av skadlig kod och script för att det skulle ladda ner på infekterade värdar, ett tecken på att de fortfarande var experimentera med sin egen attack kedja och hade inte bosatte sig på en viss utnyttja metod och sista målet.
Men trots att gruppen är oklart attack mönster, dessa attacker var inte brudarna, att åtminstone några offer.
Fan, min stora laptop fick ägs av detta. Tur att jag har dagliga säkerhetskopior.
— Neal Walfield (@nwalfield) den 11 juni 2019
Andra gruppen går in i den vik
Parallellt med denna grupp, en andra våg av attacker som utförs av en andra grupp var också sett få igång den 10 juni, Magni R. Sigurðsson, en säkerhetsforskare på Cyren berättade ZDNet i dag i ett e-postmeddelande.
“Det omedelbara målet för den nuvarande attacken är att skapa en bakdörr in i MTA-servrar genom att ladda ner en shell-script som lägger en SSH-nyckel till root-kontot,” Sigurðsson berättade ZDNet.
Enligt forskaren attacken är stegen är följande:
1) en angripare skickar en e-post och SMTP-dialogrutan av att e-post, det RCPT_TO området får en e-post-adress som innehåller en “lokaldel” utformad av angripare att utnyttja Exim sårbarhet. Specifikt, den attack använder en speciellt utformad Kuvert-Från (532.MailFrom) som ser ut som nedan, det skulle ladda ner ett Shell-skript och direkt utför det.
Bild: Cyren (medföljer)
2) Den infekterade Exim server körs som lokaldel i sina egna användare sammanhang, när de får e-post.
3) Eftersom människor fortfarande använder Exim, som root, kommer det då att ladda ner ett shell-skript som kommer att öppna en SSH-åtkomst till MTA-server via en publik nyckel till root-användaren.
“Manuset i sig är värd i Tor-nätverket, så attribution är nästan omöjligt,” Sigurðsson berättade ZDNet.
“De är inriktade på Red Hat Enterprise Linux (RHEL), Debian, openSUSE och Alpina Linux operativsystem.”
Denna andra våg av attacker, mer avancerad än den första, var också upptäckt idag av Cybereason Chef för säkerhetsforskning Amit Serper’, som bekräftar att gruppen inte bara hade fortsatt att driva verksamheten, men hade också förstärkt sina attacker nog att dyka upp på honeypots av annan säkerhet för företag.
1/n VIKTIG, TRÅDEN: Någon som är aktivt utnyttjar utsatta exim-servrar. Angriparna använder exim vuln att få permanent root-åtkomst via ssh för att de utnyttjas servrar genom att använda ett skript som laddas upp till servern genom att utnyttja.
— Amit Serper ‘ (@0xAmit) 13 juni 2019
För nu, det enda Exim server ägare kan göra är att uppdatera till version 4.92 så snart som möjligt, samt för att förhindra eventuella attacker från påverka deras e-postservrar.
Relaterade skadliga program och it-brottslighet täckning:
Gamla ICEFOG APT malware upptäckt igen i ny våg av attacksFIN8 hackare tillbaka efter två år med attacker mot gästfrihet sectorRansomware stoppar produktionen i dagar i stora flygplansdelar manufacturerMicrosoft varnar om e-post är spam kampanj missbrukar Office vulnerability8 år senare, mot Mariposa malware gäng som rör sig framåt på USTwo hacka grupper som är ansvariga för stor spik i hackad Magento 2.x storesThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO