Зафиксированы первые попытки массовой эксплуатации недавно обнародованной уязвимости в почтовом агенте Exim. Пользователям продукта настоятельно рекомендуется обновить его до версии 4.92.

В настоящее время Exim используют более половины почтовых серверов в Интернете. Для злоумышленников каждый недочет в системе безопасности подобного ПО является подарком, так как он открывает возможность для проведения масштабных атак.

В начале текущего месяца стало известно, что популярный продукт содержит легко эксплуатируемую уязвимость, позволяющую выполнить на сервере любую команду с правами root. Как оказалось, от проблемы можно избавиться, установив последнее обновление Exim (4.92).

Не прошло и недели, как злоумышленники взяли раскрытую информацию на вооружение. В настоящее время эксплойт CVE-2019-10149 пытаются применить как минимум две группы хакеров. Одна из них разместила вредоносный скрипт на германском сервере (в открытом Интернете), другая прячет его в сети Tor.

Инициаторы первой киберкампании, похоже, пока не определились с конечной целью: они несколько раз сменяли полезную нагрузку и, видимо, пока просто проверяют эффективность нового эксплойта.

Вторая криминальная группа выказывает больше определенности: она использует уязвимость в Exim для открытия бэкдора на почтовых серверах. С этой целью автор атаки отправляет письмо с особым конвертным заголовком «To». В результате обработки вредоносного сообщения на сервер Exim загружается шелл-скрипт, который открывает доступ к службе SSH, добавляя публичный RSA-ключ аутентификации к учетной записи пользователя root (многие до сих пор запускают Exim с такими привилегиями). Конечной целью злоумышленников, как выяснили в Cybereason, пока является установка криптомайнера, а также сканера для дальнейшего распространения инфекции.

По данным компании Cyren, авторы этой кампании атакуют в основном машины под управлением RHEL, Debian, openSUSE и Alpine Linux. Обе серии атак были обнаружены примерно в одно и то же время, 9-10 июня, и пока они только усиливаются.

Согласно выдаче Shodan от 13 июня, через Интернет в настоящее время доступны около 3,7 млн серверов, использующих Exim в сборке ниже 4.92.

Категории: Главное, Уязвимости, Хакеры