Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимость CVE-2019-10149 в популярном почтовом агенте пытаются использовать как минимум две группы хакеров.
Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92.
В настоящее время Exim используют более половины почтовых серверов в Интернете. Для злоумышленников каждый недочет в системе безопасности подобного ПО является подарком, так как он открывает возможность для проведения масштабных атак.
В начале текущего месяца стало известно, что популярный продукт содержит легко эксплуатируемую уязвимость, позволяющую выполнить на сервере любую команду с правами root. Как оказалось, от проблемы можно избавиться, установив последнее обновление Exim (4.92).
Не прошло и недели, как злоумышленники вязли раскрытую информацию на вооружение. В настоящее время эксплойт CVE-2019-10149 пытаются применить как минимум две группы хакеров. Одна из них разместила вредоносный скрипт на германском сервере (в открытом Интернете), другая прячет его в сети Tor.
Инициаторы первой киберкампании, похоже, пока не определились с конечной целью: они несколько раз сменяли полезную нагрузку и, похоже, пока просто проверяют эффективность нового эксплойта.
Вторая криминальная группа выказывает больше определенности: она использует уязвимость в Exim для открытия бэкдора на почтовых серверах. С этой целью автор атаки отправляет письмо с особым конвертным заголовком «To». В результате обработки вредоносного сообщения на сервер Exim загружается шелл-скрипт, который открывает доступ к службе SSH, добавляя публичный RSA-ключ аутентификации к учетной записи пользователя root (многие до сих пор запускают Exim с такими привилегиями). Конечной целью злоумышленников, как выяснили в Cybereason, пока является установка криптомайнера, а также сканера для дальнейшего распространения инфекции.
По данным компании Cyren, авторы этой кампании атакуют в основном машины под управлением RHEL, Debian, openSUSE и Alpine Linux. Обе серии атак были обнаружены примерно в одно и то же время, 9-10 июня, и пока они только усиливаются.
Согласно выдаче Shodan от 13 июня, через Интернет в настоящее время доступны около 3,7 млн серверов, использующих Exim в сборке ниже 4.92.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |