Hacker treten massive Angriffswelle gegen Exim-E-Mail-Server los

Mehrere Hackergruppen nehmen seit einigen Tagen E-Mail-Server ins Visier, die auf dem Mailserver Exim basieren. Sie versuchen, eine kürzlich bekannt gewordene Sicherheitslücke auszunutzen, um die Kontrolle über ungepatchte Server zu übernehmen. Bisher wurden mindestens zwei Gruppen identifiziert, die hinter der massiven Angriffswelle stecken.

Die fragliche Anfälligkeit mit der Kennung CVE-2019-10149 ist seit 5. Juni bekannt. Sie wird als „Return of the WIZard“ bezeichnet und erlaubt es Angreifern, aus der Ferne schädliche Nachrichten an anfällige Exim-Server zu verschicken, die wiederum Schadcode einschleusen und mit den Rechten des Exim-Prozesses ausführen – in den meisten Fällen sind dies Root-Rechte.

Die erste Welle startete dem Sicherheitsforscher Freddie Leeman zufolge bereits am 9. Juni. In den darauffolgenden Tagen habe die Gruppe ihren Angriff verfeinert und sowohl die Skripte als auch die eingeschleuste Malware verändert. Leeman geht davon aus, dass diese Gruppe bisher noch kein endgültiges Ziel für ihre Angriffe festgelegt hat.

Die zweite Gruppe soll seit 10. Juni aktiv sein und laut Magni Sigurdsson, Sicherheitsforscher bei Cyren, versuchen, eine Hintertür auf anfälligen Exim-Servern anzulegen. Dafür sollen die Hintermänner eine E-Mail an die Server schicken, die sie dazu bringt, ein Shell-Skript herunterzuladen und auszuführen. Das wiederum öffnet einen SSH-Zugang auf dem Server, und zwar mithilfe eines zuvor per Skript zum Root-Konto hinzugefügten SSH-Schlüssels.

„Das Skript selbst wird im Tor-Netzwerk gehostet“, erklärte Sigurdsson. „Sie gehen gegen Red Hat Enterprise Linux, Debian, OpenSuse und Alpine Linux vor.“

Die zweite Welle wurde auch vom Sicherheitsanbieter Cybereason entdeckt und analysiert. Demnach ist diese Gruppe weiterhin aktiv. Sie soll zudem ihre Aktivitäten ausgeweitet und somit auch in den Honeypots anderer Sicherheitsanbieter gelandet sein. Die Hintermänner setzen Cybereason zufolge inzwischen sogar eine Wurm-Komponente ein, um den Exim-Exploit an weitere Server zu verteilen. Auf kompromittierten Servern fanden die Sicherheitsforscher zudem Kryptominer.

Betreiber von Exim-Servern können sich vor den Angriffen schützen. Sie müssen lediglich ihre Installation auf die aktuellen Version 4.92 aktualisieren.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

3 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

3 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

4 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

5 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago