Krytyczna dziura w linuksowym Exim zagraża milionom użytkowników

Cyberprzestępcy wykorzystują krytyczną dziurę w linuksowym serwerze poczty elektronicznej Exim. Błąd pozwala napastnikowi na wykonanie dowolnego kodu, wgranie na komputer ofiary programów kopiących kryptowaluty oraz instalowanie szkodliwego oprogramowania. Cyberprzestępca ma tez możliwość zdalnego wykonywania komend na zaatakowanej maszynie. Zdaniem ekspertów, obecnie na całym świecie znajduje się ponad 3,5 miliona serwerów narażonych na atak.

Szczególnie narażone są szeroko oferowane usługi poczy elektronicznej. Serwery pocztowe wykorzystujące Exim stanowią niemal 57% wszystkich obecnych w internecie serwerów pocztowych. Dziura, odkryta przed 2 tygodniami jest już wykorzystywana przez cyberprzestępców.

Błąd bierze się z niewłaściwej weryfikacji adresu odbiorcy przez funkcję deliver_message(). Dziurę oceniono na 9,8 w 10-stopniowej skali zagrożeń. Występuje ona w wersjach od 4.87 do 4.91. Edycja 4.92 jest bezpieczna.

Twórcy Exim już przygotowali odpowiednie poprawki dla wszystkich wersji. Obecnie są one testowane. Zauważają przy tym, że stopień narażenia serwera zależy w dużym stopniu od jego konfiguracji. Im bliżej standardowej konfiguracji, tym serwer jest bezpieczniejszy.

Lukę odkryto 5 czerwca, a 4 dni później zanotowano pierwszą falę ataków. Niedługo później eksperci zauważyli drugą falę ataków, rozpoczętą najprawdopodobniej przez innego napastnika.

Ta druga fala była już znacznie bardziej zaawansowana od pierwszej. Napastnik najpierw instalował na serwerze prywatny klucz uwierzytelniający, a następnie skaner portów, który wyszukiwał inne wrażliwe na atak serwery i instalował na nich oprogramowanie do kopania kryptowalut.

Exim Linux poczta elektroniczna dziura luka cyberprzestępca atak