华盟君引言“黑客正在攻击数百万台运行易受攻击的Exim邮件传输代理(MTA)版本的邮件服务器,威胁行为者利用了CVE-2019-10149漏洞。”
数百万运行脆弱的Exim邮件传输代理(MTA)版本的邮件服务器受到攻击,威胁行动者正在利用CVE-2019-10149漏洞来接管它们。
一个严重的漏洞影响到版本4.87到4.91的Exim邮件传输代理(MTA)软件。未经身份验证的远程攻击者可以利用此缺陷在邮件服务器上执行任意命令,以实现某些非默认服务器配置。
CVE-2019-10149问题存在于/src/ delivery .c中的deliver_message()函数中,它是由接收地址的不正确验证引起的。这个问题可能导致在邮件服务器上使用根权限执行远程代码。
该漏洞很容易被本地和远程攻击者利用,在某些非默认配置下,专家认为,威胁行动者将开始在野外攻击中使用它。
CVE-2019-10149缺陷在2月份发布了4.92版本,解决了美国进出口银行的开发团队。不幸的是,许多操作系统仍然受到该漏洞的影响。
查询Shodan以查找易受攻击的Exim版本,可以找到3,655,524个版本,其中大多数安装在美国(1,984,5538)。
搜索运行4.92版本的补丁Exim安装,我们可以找到1,795,332个系统。
CVE-2019-10149于6月5日首次被发现,目前正被广泛用作攻击进出口银行服务器并在互联网上传播的攻击漏洞。Cybereason发布的一篇博客写道。
“正如弗雷迪·利曼(Freddie Leeman)在2019年6月9日描述的那样,我们知道最初的攻击浪潮。第一个黑客组织开始从位于clear web上的C2服务器发起攻击。Nocturnus团队正在分析另一名袭击者发动的第二轮袭击。”
攻击者正在internet上扫描易受攻击的邮件服务器,当它们受到攻击时,最初部署的脚本将下载第二个脚本,用于检查OpenSSH是否安装在受攻击的计算机上。
如果OpenSSH不存在,它将安装OpenSSH并启动它,使用私有/公共RSA密钥通过SSH获得根登录以进行身份验证。
专家们还观察到,第二批攻击者发起的另一场攻击也针对进出口银行的服务器。
第二波攻击是由Freddie Leeman于6月9日发现的,在这波攻击中,攻击者提供了利用易受攻击的Exim服务器的脚本,攻击时间为173[.]212[.]214[.]137/s。
在接下来的几天里,这个组织不断改进攻击方式,改变了在受感染的主机上下载的恶意软件和脚本的类型;这表明他们仍在试验自己的攻击链,并没有确定一个特定的利用方法和最终目标。“ZDnet报道。
第二个流背后的攻击者使用了多个变体,并不断更改脚本。
