Hackerangriffe: Sicherheitslücke in Exim-E-Mail-Server wird ausgenutzt

Die vor einer Woche zufällig entdeckte kritische Sicherheitslücke im Mail Transfer Agent Exim, der auf rund 50 Prozent aller E-Mail-Server läuft, wird wenige Tage nach Bekanntwerden bereits von Hackern ausgenutzt. Die Remote-Command-Execution-Schwachstelle ermöglicht das Ausführen von Befehlen mit Root-Rechten aus der Ferne.

Sicherheitsforscher haben mindestens zwei Gruppen identifiziert, die versucht haben die Lücke (CVE-2019-10149) auszunutzen. Zwar steht mit Version 4.92 bereits ein Update zur Verfügung, dies wird aber noch nicht bei allen Distributionen in den stabilen Releases genutzt, weshalb viele E-Mail-Server weiterhin ungeschützt sind, bis die Administratoren manuell ein Update von Exim anstoßen.

Freddie Leeman hat die ersten Angriffe auf ungepatchte Exim-Server am 9. Juni beobachtet. In den nächsten Tagen wurden die Angriffe und die eingeschleuste Malware angepasst und optimiert. Ein konkretes Ziel, so Leeman, scheinen die Angreifer dabei zunächst aber nicht zu verfolgen.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Just detected the first attempts to exploit recent #exim remote command execution (RCE) security flaw (CVE-2019-10149). Tries to downloads a script located at http://173.212.214.137/s (careful). If you run Exim, make sure it's up-to-date. @qualys pic.twitter.com/s7veGBcKWO

— Freddie Leeman (@freddieleeman) June 9, 2019

X-Embeds laden Datenschutzerklärung

Auch zweite Gruppe will sich Zugänge sichern

Der Sicherheitsforscher Magni Sigurdsson von Cyren hat ab dem 10. Juni Angriffe verzeichnet, bei denen versucht wurde, über den Exim-Prozess eine Backdoor auf den Servern zu installieren, um sich Zugriff zu diesen zu sichern. Über ein Shell-Skript, das geladen und ausgeführt wird, sollte ein SSH-Zugang auf den Servern eingerichtet werden, wobei die Angreifer zuvor einen SSH-Schlüssel für das Root-Konto hinzugefügt hatten. Das Skript hierfür, das geladen wird, liegt selbst wiederum im Tor-Netzwerk. Die Angriffe richteten sich mit Red Hat Enterprise Linux, Debian, OpenSuse und Alpine Linux gegen mehrere Distributionen.

Verbreitung über Wurm und Gewinn mit Kryptominer

Auch der Sicherheitsanbieter Cybereason hat diese Angriffe verzeichnet. Sie sollen weiterhin und mit zunehmender Intensität durchgeführt werden. Auch die zweite Angreifergruppe verändert ihre Angriffe mit der Zeit und nutzt inzwischen auch einen Wurm, um sich von einem Server auf andere auszubreiten. Cybereason hat auf angegriffenen Servern zudem Kryptominer entdeckt – die Angreifer versuchen demnach auch wirtschaftlichen Nutzen aus den Angriffen zu ziehen.