Millones de servidores de correo que ejecutan versiones vulnerables del Agente de transferencia de correo de Exim (MTA) se encuentran actualmente bajo asedio
Los atacantes obtienen acceso de raíz permanente a través de SSH a las máquinas explotadas, según investigadores de seguridad.
La falla rastreada como CVE-2019-10149 y llamada "The Return of the WIZard" por Qualys, el equipo de investigación que lo descubrió, hace posible que los atacantes ejecuten de forma remota comandos arbitrarios como root, en la mayoría de los casos, en servidores expuestos después de la explotación.
La primera vez que informamos sobre la vulnerabilidad de gravedad crítica encontrada en las versiones 4.87 a 4.91 de Exim , una búsqueda rápida de Shodan mostró que las versiones vulnerables de Exim se ejecutaban en más de 4.800.000 máquinas, con aproximadamente 588.000 servidores que ya habían instalado la versión Exim 4.92 parcheada.
Ahora, Shodan dice que más de 3,680,000 servidores ejecutan una versión vulnerable de Exim, mientras que el número de máquinas parcheadas ha aumentado a 1,765,293 .
Además, como detalló en Twitter el investigador líder en amenazas de RiskIQ, Yonathan Klijnsma, "la gente ha estado parchando activamente los servidores Exim el día que se publicó el CVE-2019-10149".
Como muestra una gráfica de la línea de tiempo de actualización compartida por Klijnsma , casi el 70% de todos los servidores de correo Exim ejecutan actualmente la versión 4.92, la que no es vulnerable a estos ataques en curso.
Para asegurarse de que sus máquinas no sean explotadas, todos los demás administradores del servidor Exim deben seguir su ejemplo inmediatamente e instalar la versión 4.92 parcheada.
Carga útil alojada en la red Tor
Los actores malintencionados están explotando activamente todos los servidores de correo vulnerables que pueden encontrar al usar un script Bash cargado en "desde un servicio oculto tor (wwd4wp4xo7hpr) a través de tor2web 'enrutamiento' servicios" después de explotar la falla Exim.
La secuencia de comandos inicialmente implementada en los servidores Exim explotados descargará otra secuencia de comandos diseñada para verificar si OpenSSH está instalado en la máquina comprometida.
Posteriormente, si OpenSSH no está presente, lo instalará utilizando el administrador de paquetes APT (Advanced Package Tool) junto con otras herramientas, y lo iniciará para habilitar los inicios de sesión de raíz a través de SSH usando una clave RSA privada / pública para la autenticación.
De esta manera, los atacantes obtienen acceso de root a todos los servidores Exim que logran comprometer, como lo explicó Amit Serper , jefe de investigación de seguridad de Cybereason.
Segundo flujo de ataques dirigidos a servidores Exim
"Acabo de detectar los primeros intentos de explotar la reciente falla de seguridad de ejecución remota de comandos (RCE) de Exim (CVE-2019-10149)", dijo Leeman.
Al igual que en el caso de los ataques descritos anteriormente lanzados desde un servidor de red Tor, este también utilizará el script inicialmente eliminado y descargará un segundo que implementa múltiples variantes de carga binaria en las máquinas comprometidas.
Leeman dijo que "detectó múltiples variantes y también están cambiando los scripts. Las últimas versiones descargan directamente la carga útil binaria y la ejecutan, omitiendo la recopilación de datos del sistema y publicándola".
Fecha actualización el 2021-06-14. Fecha publicación el 2019-06-14. Categoría: servidores Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil