Среда, 2 декабря, 04:44
дома безопасность Критические ошибки Exim были исправлены, но многие серверы все еще находятся в опасности

Критические ошибки Exim были исправлены, но многие серверы все еще находятся в опасности

Почтовые серверы exim не достаточно быстрые, и члены российской хакерской группы Sandworm активно используют три критических уязвимости, которые делают возможным удаленное выполнение команд или кода удаленно.

Около миллиона серверов Exim уязвимы и уязвимы, хотя их число ежедневно уменьшается. Exim 4.93 в настоящее время считается безопасной версией.

Exim

Более широкая атака

Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ (NSA) προειδοποίησε την Πέμπτη ότι από τον Αύγουστο του περασμένου έτους, οι hackers έχουν αξιοποιήσει το CVE-2019-10149 (“The Return of the WIZard”).

Το ελάττωμα επιτρέπει την εκτέλεση απομακρυσμένων εντολών σε servers με εγκατεστημένα τα Exim 4.87 έως 4.91. Διορθώθηκε τον Ιούνιο του 2019. Οι hackers το εκμεταλλεύτηκαν στέλνοντας στο στόχο ένα επεξεργασμένο email με μια εντολή που προστέθηκε στο πεδίο “MAIL FROM:”.

Исследователи в RiskIQ обнаружил, что атаки Sandworm использовали еще два недостатки безопасности в непатентованных серверах exim. Оба имеют решающее значение и могут быть использованы удаленно без идентификация выполнить код или приложения с привилегиями root:

  • Το CVE-2019-15846 – επηρεάζει όλες τις εκδόσεις Exim έως και 4.92.1, που αναφέρθηκαν τον Ιούλιο του 2019 και ενημερώθηκαν στις αρχές Σεπτεμβρίου 2019
  • Το CVE-2019-16928 – επηρεάζει όλους τους Exim servers 4,92 έως 4,92,2, έλαβε μια επιδιόρθωση στα τέλη Σεπτεμβρίου 2019

По состоянию на 1 мая исследователи RiskIQ обнаружили в онлайн-базе данных компании более 900.000 XNUMX уязвимых серверов.

Согласно их данным, организации начали обновлять почтовые серверы Exim, и в прошлом месяце были зарегистрированы менее уязвимые версии. Тем не менее, переход на обновленный издание уже поздно.

Краткий обзор Shodan показывает чуть более миллиона серверов Exim (4.92) в Интернете, большинство из них в Соединенные Штаты Америкис Германия и Россия следовать.

АНБ предоставляет два IP-адреса и доменное имя, связанное с деятельностью Sandworm, чтобы помочь организациям определить, были ли они подвержены фактору угрозы.

  • 95.216.13.196
  • 103.94.157.5
  • hostapp.be

Флориан Рот, технический директор Nextron Systems, опубликовал инструмент, который может обнаруживать активность Sandworm с использованием правил и индикаторов соответствия (IOC) на основе выборок из отчета NSA.

Το πρακτορείο αναφέρει ότι οι εισβολείς χρησιμοποίησαν το CVE-2019-10149 για να κατεβάσουν και να εκτελέσουν ένα script που τους επέτρεψε να “προσθέσουν προνομιούχους χρήστες, να απενεργοποιήσουν τις ρυθμίσεις ασφάλειας δικτύου, να ενημερώσουν τις Конфигурации SSH допустить удаленный доступ, να εκτελέσουν ένα επιπλέον script για να επιτρέψουν την συνεχή εκμετάλλευση.”

Их сценарий дал им полный доступ к взломанным серверам и всем базам данных MySQL, работающим на нем.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Разработчики: День: Цифровые - лучшие вакансии в новых технологиях

Разработчики: День: Цифровые технологии - лучшие рабочие места в новых технологиях Новые технологии набирают силу с каждым днем, в то время как острая потребность в удаленной работе из-за ...

Как обеспечить безопасность своей учетной записи Apple

Учетная запись Apple или Apple ID важна для каждого пользователя, поскольку она обеспечивает доступ к различным устройствам и службам ...

Вредоносное ПО Gootkit: возвращает и нацеливается на Германию с помощью REvil!

Gootkit, троян, крадущий информацию из систем своих жертв, снова появляется на фоне угроз, затем ...

AspenPointe: поставщик медицинских услуг в США пострадал от утечки данных

Медицинский провайдер AspenPointe из США проинформировал своих пациентов об утечке данных в результате кибератаки в сентябре с ...

Вермонт: больницы все еще восстанавливаются после атаки вымогателя Ryuk

Больницы Вермонта восстанавливаются с октября, когда они были атакованы программой-вымогателем Ryuk, медленно восстанавливая свои услуги ...

Рост числа вредоносных программ, нацеленных на системы Docker

К концу 2017 года исследователи безопасности заметили серьезный сдвиг в атаках вредоносных программ. Как облачные технологии ...

Четыре основных уязвимости в современных автомобилях

Автомобили в наши дни имеют несколько технологических средств. Еще до того, как поставить машину впереди, она активно общается с ...

WebKit: уязвимости позволяют запускать код через вредоносные сайты.

По мнению исследователей безопасности Cisco Talos, движок браузера WebKit в настоящее время уязвим ...

США: первые в мире утечки данных

Согласно отчету Uswitch, США занимают первое место в мире по утечкам данных, опережая Китай, Индию ...

Microsoft: связывает государственных хакеров Вьетнама с кампанией по майнингу криптовалют

Согласно отчету Microsoft, хакерская группа, связанная с правительством Вьетнама, начала использовать вредоносное ПО для крипто-майнинга ...