多个组织正在对暴露的Exim邮件服务器发起攻击,试图利用可能使他们具有永久根访问权限的漏洞。 据报道,Exim服务器运行着几乎57%的互联网电子邮件服务器,而Shodan最近的搜索显示,数百万易受攻击的计算机仍在运行。 攻击者正在利用CVE-2019-10149,该漏洞也称为“向导的返回”。 它由安全公司Qualys于6月5日发布,它是一个影响Exim版本4.87至4.91的远程命令执行漏洞。 该漏洞使攻击者可以在成功利用的Exim服务器上以root用户身份远程运行任意命令。
这些攻击正在进行中,但并非意外。 上周已经有关于该漏洞的报告。 大量的Exim服务器意味着网络分子有大量目标。 但是,Exim用户应注意,自2月以来已提供补丁程序。 开发人员使用4.92版解决了该安全漏洞。 进出口攻击者
已经看到有两个小组都在利用上述漏洞攻击Exim服务器。 其中一种攻击是由房地美(Freddie Leeman)发现的,他将其发现发布在Twitter上。
根据Leeman的报告,黑客似乎从正常网络上的公共服务器上删除了恶意脚本。 根据BleepingComputer的说法,删除的脚本将下载另一个脚本,该脚本随后在被利用的主机上部署多个二进制有效载荷变体。 在发现之后的几天里,开发了多种版本的此漏洞,这表明攻击者仍在微调其技术。
安全研究人员MagniSigurðsson看到了另一组攻击者,他告诉ZDNet,这种特殊攻击的目的是通过下载一个Shell脚本在邮件服务器上创建后门程序,该脚本将Secure Shell(SSH)密钥添加到了Windows Server 2003。 根帐户。 这些攻击者将他们的脚本托管在Tor网络上,这使得识别它们变得更加困难。 解决方案和建议
自补丁发布以来,许多Exim用户已经修补并更新了他们的邮件服务器,并且有关此漏洞的消息已经传播开来。 那些尚未应用此修补程序的用户应更新到版本4.92。
修补对于许多企业来说仍然是一个问题,这是一个已知的问题。 许多网络分子积极滥用已经发布了补丁的漏洞。 假设许多用户没有迅速甚至根本没有应用可用的更新,则某些攻击者会利用已修补了将近一年的漏洞。
虚拟补丁和应用程序控制等技术可以帮助组织避免临时补丁的负担。 审核工具还可以帮助组织在计划的补丁程序周期中包含重要的补丁程序,以减轻计划和部署的负担。
趋势科技™趋势科技服务器深度安全防护系统解决方案提供了虚拟补丁程序,可保护服务器和端点免遭滥用关键应用程序漏洞的威胁。 趋势科技服务器深度安全防护系统™和漏洞防护通过以下深度数据包检查(DPI)规则保护系统和用户: 1009797-Exim'deliver_message'命令注入漏洞(CVE-2019-10149)
趋势科技™TippingPoint®系统通过DigitalVaccine™过滤器提供虚拟补丁程序和广泛的零日保护,以防止网络可利用的漏洞。 保护客户免受可能通过此MainlineDV筛选器利用此漏洞的威胁和攻击: 35520:SMTP:Exim Internet Mailer命令注入漏洞
趋势科技™深度发现解决方案通过专门的引擎,自定义沙箱和整个攻击生命周期的无缝关联,提供利用漏洞利用和其他类似威胁的攻击检测,深入分析和主动响应,从而可以检测到 威胁,即使没有任何引擎或特征码更新。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢