Одна из обнаруженных июньских проблем – 10149 – представляет собой весьма опасную уязвимость для почтового сервера Exim. Так утверждают исследователи, анализирующие данную проблему для версии 4.87 – 4.91. Специалисты уверены, что этот недочет открывает возможность хакерам активно использовать в личных целях запуск команд от root. Эти манипуляции можно проводить на закрытых серверах удаленных почтовых аккаунтов. Данная проблема носит глобальный характер ввиду подвержения опасности более чем половины всех почтовых интернет-серверов. Если верить июньской статистике, свыше 500 тысяч пользователей реально используют Exim для своих почтовых серверов. Это составляет 57% от общего количества юзеров. Другие же источники предоставляют намного печальнее данные – почти пять с половиной миллионов. Специалисты утверждают, что использование злоумышленниками этой проблемы не составляет труда. Ввиду простоты эксплуатации разработчики предполагают, что хакеры возьмут в оборот эту уязвимость в ближайшие дни. И не зря, ведь эксплоит для нее уже засветился в использовании двумя группами мошенников. Фредди Лиманом был выявлен первый всплеск атак. ИБ-специалист утверждает, что волны исходили с одного определенного адреса, причем отсчет ведется с 9 июня. Управляющий сервер совершал атаки на уязвимые сервера.
После выявления уязвимости хакеры начали активно экспериментировать с ее ипользованием:
изменяли типы малвари;
практиковали различные скрипты;
использовали разные формы распространения.
Таким образом злоумышленники определяли максимально выгодные способы использования проблемы. Активность второй организации хакеров начала свою деятельность практически одновременно с первой. Опираясь на исследования Cyren, издатели оповещают о начальной точке их активности – 10 июня. Как стало известно, целью хакерской организации было внедрить бэкдоры на различные серверы МТА. Они действовали таким образом – добавляли шелл-скрипт и особый ключ к роут-аккаунту. Они работали в определенной целевой аудитории:
Hat Enterprise Linux:
Debian;
Alpine Linux.
Специалисты предполагают, что хакеры изначально отсылают юзеру письмо, в котором уже имелся адрес с уязвимостью в Экзим.
Разработчики настоятельно рекомендуют обновить Экзим, чтобы предотвратить возможность атаки на свои серверы.
