Exim电子邮件服务器现在受到攻击

Exim服务器估计将运行近57%的互联网电子邮件服务器，目前正受到来自黑客组织的大量攻击，这些黑客组织试图利用最近的安全漏洞来接管易受攻击的服务器。

已经确定至少有两个黑客组织正在进行攻击，一个在公共互联网服务器上运行，另一个使用位于黑暗网络上的服务器。

返回WIZARD-CVE-2019-10149

两个小组都在使用CVE-2019-10149的漏洞，这是一个在6月5日公开披露的安全漏洞。

该漏洞被称为“Wizard的回归”，它允许远程攻击者向易受攻击的Exim服务器发送恶意电子邮件，并在Exim进程的访问级别下运行恶意代码，这在大多数服务器上都是root用户。

由于目前在互联网上安装的Exim服务器数量很多-估计在500,000到540万之间-因此非常期待开发尝试。

第一组和第一波攻击

根据自我描述的安全爱好者FreddieLeeman的说法，第一波攻击始于6月9日，当时第一批黑客组织开始从位于清晰网络上的命令和控制服务器中爆发攻击，http：//173[]212.214.137/秒。

在随后的几天里，这个小组发展了它的攻击，改变了它在受感染主机上下载的恶意软件和脚本的类型;一个迹象表明他们仍在试验自己的攻击链，并没有确定特定的漏洞利用方法和最终目标。

但尽管该组织的攻击模式不明确，但这些攻击并非哑弹，至少造成了一些受害者。

第二组进入折叠

Cyren的一名安全研究员MagniR.Sigurðsson今天在一封电子邮件中告诉ZDNet，与第二组进行的第二波攻击同时发生在6月10日。

“当前攻击的直接目标是通过下载将root密钥添加到root帐户的shell脚本来创建MTA服务器的后门，”Sigurðsson告诉ZDNet。

根据研究人员的说法，攻击的步骤如下：

1)攻击者发送电子邮件，在该电子邮件的SMTP对话框中，RCPT_TO字段获取一个电子邮件地址，其中包含攻击者制作的“本地部分”以利用Exim漏洞。具体来说，攻击使用一个特制的Envelope-From(532.MailFrom)，如下所示，它会下载一个Shell脚本并直接执行它。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！