Миллионы почтовых серверов Exim находятся под активными атаками

image

Теги: Exim, Return of the WIZard

По состоянию на июнь 2019 года ПО Exim было установлено на 57% от всех видимых через интернет почтовых серверов.

По меньшей мере две хакерские группировки активно атакуют почтовые серверы с установленным агентом Exim в целях эксплуатации недавно обнаруженной в ПО уязвимости.

По состоянию на июнь 2019 года Exim было установлено на 57% (507 389) от всех видимых через интернет почтовых серверов (по некоторым данным, в действительности число установок Exim превышает данную цифру в десять раз и составляет 5,4 млн).

Речь идет об уязвимости CVE-2019-10149, также известной как «Return of the WIZard», которая затрагивает версии Exim от 4.87 до 4.91. Уязвимость позволяет удаленному/локальному злоумышленнику запускать на почтовом сервере команды с привилегиями суперпользователя.

По данным специалиста Фредди Лимана (Freddie Leeman), первая волна атак началась 9 июня. В ходе кампании некая хакерская группа начала атаковать почтовые серверы с расположенного в интернете C&C-сервера, а в последующие дни принялась экспериментировать с методами эксплуатации, меняя тип вредоносного ПО и скриптов, загружаемых на зараженные серверы.

Примерно в то же время была зафиксирована еще одна волна атак, организованная уже другой группировкой. По словам ИБ-экспертов, данная кампания более сложная по сравнению с вышеописанной и продолжает развиваться. В ходе атак злоумышленники создают бэкдор на почтовых серверах путем загрузки шелл-скрипта, добавляющего SSH ключ к учетной записи суперпользователя. Сам скрипт располагается на сервере в сети Tor, благодаря чему его происхождение практически невозможно выяснить. В основном хакеры атакуют системы на базе ОС Red Hat Enterprise Linux (RHEL), Debian, openSUSE и Alpine Linux, рассказал ZDNet эксперт из компании Cyren Магни Сигурдсон (Magni R. Sigurdsson).

По данным ИБ-специалистов, во второй кампании также используется червь для распространения заражения на другие почтовые серверы. Кроме того, помимо бэкдора, атакующие загружают на скомпрометированные серверы программы для добычи криптовалюты.

Для защиты от атак владельцам уязвимых серверов рекомендуется обновиться до новой версии Exim - 4.92.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.