Suicide
14.06.2019, 23:06
Исследователи безопасности из компании Cybereason предупредили (https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability) администраторов почтовых серверов о выявлении массовой автоматизированной атаки, эксплуатирующей критическую уязвимость (https://www.opennet.ru/opennews/art.shtml?num=50819) (CVE-2019-10149) в Exim, выявленную на прошлой неделе. В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.
В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. По информации (https://pbs.twimg.com/media/D89Gf0KUcAAJY44.jpg) компании RiskIQ на версию 4.92 уже перешло 70% серверов с Exim.
https://www.opennet.ru/opennews/pics_base/0_1560492483.png
Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе подверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в отсутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются в процессе загрузки вредоносного ПО.
Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июня атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH (если нет, устанавливает (https://pbs.twimg.com/media/D88gM2mWsAAhwD4.jpg)), меняет его настройки (разрешает (https://pbs.twimg.com/media/D88gZ0sX4AAeHgm.jpg) вход с root и аутентификацию по ключам) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c5143025097c0#file-gistfile1-txt), предоставляющий привилегированный доступ в систему через SSH.
После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.
14.06.2019
http://www.opennet.ru/opennews/art.shtml?num=50870
В соответствии с июньским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201905/mxsurvey.html) доля Exim составляет 57.05% (год назад 56.56%), Postfix используется на 34.52% (33.79%) почтовых серверов, Sendmail - 4.05% (4.59%), Microsoft Exchange - 0.57% (0.85%). По данным (https://www.shodan.io/report/uSLHrfCA) сервиса Shodan потенциально уязвимыми остаются более 3.6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92. Около 2 млн потенциально уязвимых серверов размещены в США, 192 тысячи в России. По информации (https://pbs.twimg.com/media/D89Gf0KUcAAJY44.jpg) компании RiskIQ на версию 4.92 уже перешло 70% серверов с Exim.
https://www.opennet.ru/opennews/pics_base/0_1560492483.png
Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian (https://security-tracker.debian.org/tracker/CVE-2019-10149), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html), openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-10149), Arch Linux (https://www.archlinux.org/packages/community/x86_64/exim/), Fedora (https://bodhi.fedoraproject.org/updates/FEDORA-2019-7b741dcaa4), EPEL для RHEL/CentOS (https://fedoraproject.org/wiki/EPEL)). В случае наличия в системе подверженной уязвимости версии Exim (с 4.87 по 4.91 включительно) необходимо удостовериться, что система уже не скомпрометирована, проверив crontab на предмет подозрительных вызовов и убедиться в отсутствии дополнительных ключей в каталоге /root/.ssh. Об атаке также может свидетельствовать наличие в логе межсетевого экрана активности с хостов an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io и an7kmd2wp4xo7hpr.onion.sh, которые используются в процессе загрузки вредоносного ПО.
Первые попытки атаки на серверы Exim зафиксированы (https://twitter.com/freddieleeman/status/1137729455181500421) 9 июня. К 13 июня атака приняла (https://twitter.com/0xAmit/status/1139165487093420035) массовый (https://forums.zimbra.org/viewtopic.php?t=65932&start=140) характер. После эксплуатации уязвимости через шлюзы tor2web со скрытого сервиса Tor (an7kmd2wp4xo7hpr) загружается скрипт, который проверяет наличие OpenSSH (если нет, устанавливает (https://pbs.twimg.com/media/D88gM2mWsAAhwD4.jpg)), меняет его настройки (разрешает (https://pbs.twimg.com/media/D88gZ0sX4AAeHgm.jpg) вход с root и аутентификацию по ключам) и устанавливает для пользователя root RSA-ключ (https://gist.github.com/aserper/e36d382668c6cf2c996c5143025097c0#file-gistfile1-txt), предоставляющий привилегированный доступ в систему через SSH.
После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.
14.06.2019
http://www.opennet.ru/opennews/art.shtml?num=50870