Почтовые серверы на основе Exim подвергаются массированной криптоджекинг-атаке по всему миру

Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о массовой автоматизированной атаки, эксплуатирующей критическую уязвимость в Exim, которая была выявлена на прошлой неделе.

В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.

В соответствии с июньским автоматизированным опросом доля Exim составляет 57,05% почтовых серверов. По данным сервиса Shodan, потенциально уязвимыми остаются более 3,6 млн почтовых серверов в глобальной сети, которые не обновлены до последнего актуального выпуска Exim 4.92.

Около 2 млн потенциально уязвимых серверов размещены в США, 192 000 – в России.

Первые попытки атаки на серверы Exim зафиксированы 9 июня. К 13 июня атака приняла массовый характер.

После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем “no-password”), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.

Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL для RHEL/CentOS).

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]