Ataque Masivo A Instalaciones De Exim
Una vulnerabilidad crítica que afecta a las versiones 4.87 a la 4.91 del popular servidor de correo, permitiría a atacantes remotos sin autenticar, ejecutar código arbitrario en la máquina anfitrión.
Exim es un servidor de correo electrónico de código abierto muy popular en sistemas Unix. Fue desarrollado en 1995 por Philip Hazel en la Universidad de Cambridge. Actualmente Exim es el MTA por defecto de Debian y de otras distribuciones de GNU/Linux.
Aprovechando un fallo en la función ‘deliver_message’, del módulo ‘/src/deliver.c’, un atacante podría llegar a ejecutar código arbitrario con privilegios de root manipulando la dirección de correo de destino.
Esta vulnerabilidad fue publicada el pasado 5 de junio bajo el identificador CVE-2019-10149 y se tiene constancia de que está siendo utilizada en ataques ‘in the wild’.
El investigador de seguridad Amit Serper, ha compartido evidencias de un ataque masivo que se está realizando contra estos servidores. Por un lado, la clave RSA que el atacante utiliza para tomar el control de la máquina mediante SSH:
Clave RSA del atacante
AAAAB3NzaC1yc2EAAAADAQABAAABAQC1Sdr0tIIL8yPhKTLzVMnRKj1zzGqtR4tKpM 2bfBEx+AHyvBL8jDZDJ6fuVwEB+aZ8bl/pA5qhFWRRWhONLnLN9RWFx/880msXITwO XjCT3Qa6VpAFPPMazJpbppIg+LTkbOEjdDHvdZ8RhEt7tTXc2DoTDcs73EeepZbJmD FP8TCY7hwgLi0XcG8YHkDFoKFUhvSHPkzAsQd9hyOWaI1taLX2VZHAk8rOaYqaRG3U RWH3hZvk8Hcgggm2q/IQQa9VLlX4cSM4SifM/ZNbLYAJhH1x3ZgscliZVmjB55wZWR L5oOZztOKJT2oczUuhDHM1qoUJjnxopqtZ5DrA76WH user@localhost"
Por otra parte, la cadena «an7kmd2wp4xo7hpr», que corresponde a un servicio oculto de la red TOR, puede aparecer en algunos registros de acceso o del firewall.
Según parece, estos ataques tienen como objetivo final la ejecución de un «minero de criptomonedas«, escondido en un falso .ico empaquetado con UPX.
Mientras tanto, Freddie Leeman, investigador de seguridad, ha detectado actividades relacionadas con otro grupo de atacantes que apuntaban también a instalaciones vulnerables de Exim. En este caso, se intentaba descargar un binario localizado en hxxp://173[.]212[.]214[.]137/, que en principio serviría para obtener una shell en la máquina explotada.
A pesar de que el fallo fue solucionado en la versión 4.92 de Exim, publicada en febrero. Se estima que un gran número de sistemas todavía son vulnerables. Una búsqueda en Shodan nos arroja 3.594.690 posibles instalaciones.
Desde Hispasec recomendamos a todos los usuarios de Exim revisar sus instalaciones y actualizar cuanto antes a la versión 4.92.
Más información:
IOC #1 clave RSA
https://gist.github.com/aserper/e36d382668c6cf2c996c5143025097c0#file-gistfile1-txt
kthrotlds CVE-2019-10149 Exim/cPanel
https://www.srv24x7.com/kthrotlds-cve-2019-10149-exim/
Via: unaaldia.hispasec.com