Milhões de servidores de e-mail Linux em risco

Milhões de servidores de e-mail Linux em risco. Pesquisadores identificaram uma nova e importante campanha de ataques cibernéticos, direcionada a milhões de servidores de e-mail Linux nas versões Exim 4.87 e 4.91 em todo o mundo. 

O Exim é responsável por mais da metade (57%) dos servidores de e-mail da Internet do mundo. Mais de 3,5 milhões estão em risco de uma vulnerabilidade descoberta na semana passada, CVE-2019-10149, de acordo com o fornecedor de segurança Cybereason .

Segundo a Cybereason “Há uma campanha ativa e em andamento que explora uma vulnerabilidade generalizada em servidores de e-mail linux. Esse ataque aproveita uma vulnerabilidade nova para obter a execução de comandos remotos na máquina de destino, procurar na Internet por outras máquinas para infectar e iniciar um minerador de criptografia.”

A Cybereason afirma que atualmente, mais de 3,5 Milhões de servidores de e-mail Linux em risco em todo o mundo.

O ataque vasculha a Internet em busca de uma vulnerabilidade publicada dia 04 de junho sob o CVE-2019-10149 usando servidores já infectados para se espalhar para o maior número possível.

O alvo desse ataque são os servidores Exim, que executam em quase 57% dos servidores de e-mail da Internet.

O Ataque

A equipe da Cybereason descobriu mineradores de criptomoeda do Monero instalados em servidores Linux que executam versões vulneráveis ​​do Exim: também conhecido como crypjackingOs mineradores de criptomoeda são aplicativos que usam recursos do sistema sem o conhecimento ou consentimento do proprietário do sistema para gerar lucro na forma de moedas virtuais.

A cadeia de infecção começa com a execução de comandos remotos para baixar um script mal-intencionado que recupera código de domínios tor2web e usa recursos de worms para se espalhar para outros sistemas vulneráveis.

O ataque culmina com o download de uma carga útil de minerador de moedas, que, como vimos anteriormente com o WannaMine, pode ter um impacto negativo em qualquer organização.

Os atacantes usam a máquina vítima para escanear a Internet em busca de outros servidores vulneráveis ​​do Exim. Uma vez encontrados, os invasores explorarão o servidor para obter a execução de comandos remotos e baixarão um script de um serviço oculto por meio de um serviço tor2web .

Esses tipos de ataques têm grandes implicações para as organizações. O processo de recuperação desse tipo de ataque é caro e consome tempo.

Esta é uma campanha altamente difundida que instala trabalhos agendados para persistência e baixa várias cargas para diferentes estágios do ataque. Em um desses estágios, uma das cargas é um scanner de porta escrito em python. Ele procura por servidores vulneráveis ​​adicionais na internet, conecta-se a eles e os infecta com o script inicial ”, escreveu a Cybereason.

No ataque, os invasores adicionam uma chave de autenticação RSA ao servidor SSH, o que permite que eles se conectem ao servidor como root e possuam-no completamente.

Os pesquisadores ainda estão trabalhando para avaliar a amplitude da campanha, mas com recursos semelhantes a worms, os administradores de sistema são recomendados a corrigir seus servidores Exim imediantamente, bem como encontrar e remover quaisquer trabalhos cron.

Está claro que os atacantes fizeram um grande esforço para tentar esconder as intenções de seu worm recém-criado. Eles usaram serviços ocultos na rede TOR para hospedar suas cargas e criaram arquivos ilusórios de janelas em uma tentativa de expulsar pesquisadores e até mesmo administradores de sistemas que estão olhando para seus registros”, concluiu a Cybereason. 

A prevalência de servidores Exim vulneráveis ​​permite que os invasores comprometam muitos servidores em um período de tempo relativamente curto, além de gerar um bom fluxo de receita de criptomoeda.

Descrição Atual e  Impacto segundo o NIST

Impacto

Severidade e métricas do CVSS v3.0:

Pontuação base: 9.8 vetor CRÍTICO : AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H ( legenda V3 ) 

Pontuação de Impacto: 5.9 Pontuação de Exploração: 3.9 

Vetor de ataque (AV): Rede 
Ataque Complexidade (AC): Baixa 
privilégios necessários (PR): Nenhu
User Interaction (UI): Nenhum 
Scope (S): Inalterado
Confidencialidade (C): Alta 
Integridade (I): Alta 
Disponibilidade (A): Alta

Severidade e métricas do CVSS v2.0:

Pontuação base: 7.5 ALTA Vector: (AV: N / AC: L / Au: N / C: P / I: P / A: P) ( legenda V2 )

Impacto Subescala: 6.4 Exploração Subjunção: 10.0 

Vetor de Acesso (AV): Rede

Complexidade de Acesso (AC): Baixa 
Autenticação (AU): Nenhuma 
Confidencialidade (C): Parcial 

Integridade (I): Parcial
Disponibilidade (A): Parcial 
Informações adicionais: 
Permite a divulgação não autorizada de informações. 
Permite a modificação não autorizada. 
Permite a interrupção do serviço.

Recomendações de Segurança

Segundo a Cybereason as principais recomendações de segurança são:

  • Atualize todas as instalações do EXIM que você possui em sua organização e verifique se elas estão atualizadas para a versão mais recente, 4.92 no momento desta publicação.
  • Procure por quaisquer cronjobs desconhecidos no seu crontab e remova-os. Restaure tarefas agendadas legítimas de backups existentes.
  • Exclua a chave autorizada usada para acesso de backdoor do SSH.
  • Mate o processo do coinminer e apague o coinminer.
  • Verifique seu firewall e acesse os logs dos seguintes nomes de host:
      • https://an7kmd2wp4xo7hpr.tor2web.su
      • https://an7kmd2wp4xo7hpr.tor2web.io
      • https://an7kmd2wp4xo7hpr.onion.sh
  • Refaça a imagem de todos os servidores comprometidos.

Conclusão

É claro que os atacantes fizeram um grande esforço para tentar esconder as intenções do worm recém-criado. Eles usaram serviços ocultos na rede TOR para hospedar suas cargas e criaram arquivos ilusórios de ícones do Windows em uma tentativa de expulsar pesquisadores e até mesmo administradores de sistemas que estão observando seus registros.

A prevalência de servidores Exim vulneráveis ​​( 3.683.029 em todo o mundo, de acordo com o Shodan ) permite que os invasores comprometam muitos servidores em um período relativamente curto de tempo, além de gerar um bom fluxo de receita de criptomoeda. Recomendamos enfaticamente seguir as recomendações de segurança acima para evitar que ocorram danos.

Fonte: Cybereason & InfoSecurity Magazine & Readhat & Nist 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Ataque cibernético em operadoras de telefonia rouba informações durante
  2. Sistema de "Alerta Presidencial" dos EUA via 4G pode ser falsificado

Deixe sua opinião!