Исследователи безопасности из компании Cybereason предупредили администраторов почтовых серверов о массовой автоматизированной атаке, эксплуатирующей критическую уязвимость в Exim, которая была выявлена на прошлой неделе.
В ходе атаки злоумышленники добиваются выполнения своего кода с правами root и устанавливают на сервер вредоносное ПО для майнинга криптовалют.
В соответствии с июньским автоматизированным опросом доля Exim составляет 57,05% почтовых серверов. По данным сервиса Shodan, потенциально уязвимыми остаются более 3,6 млн почтовых серверов в глобальной Сети, которые не обновлены до последнего актуального выпуска Exim 4.92.
Около 2 млн потенциально уязвимых серверов размещены в США, 192 000 – в России.
Первые попытки атаки на серверы Exim зафиксированы 9 июня. К 13 июня атака приняла массовый характер.
После настройки бэкдора в систему устанавливается сканер портов для выявления других уязвимых серверов. Также осуществляется поиск в системе уже имеющихся систем майнинга, которые удаляются в случае выявления. На последнем этапе загружается и прописывается в crontab собственный майнер. Майнер загружается под видом ico-файла (на деле является zip-архивом с паролем "no-password"), в котором упакован исполняемый файл в формате ELF для Linux с Glibc 2.7+.
Администраторам рекомендуется срочно установить обновления, которые ещё на прошлой неделе были подготовлены дистрибутивами (Debian, Ubuntu, openSUSE, Arch Linux, Fedora, EPEL для RHEL/CentOS).