Linux-червь заражает инфраструктуру Azure через почтовые сервера

Опубликовано at 15:05
73 0

Компания Microsoft предупредила пользователей о новом черве для Linux, распространяющемся через почтовые серверы Exim. По словам специалистов, вредонос уже скомпрометировал ряд установок Azure, и, хотя инфраструктура системы от Microsoft, останавливает распространение червя, она…делает это не полностью.

Как стало известно на прошлой неделе, киберпреступники атакуют миллионы почтовых серверов с установленным клиентом Exim через уязвимость CVE-2019-10149. Данная проблема затрагивает версии Exim с 4.87 до 4.91 и позволяет неавторизованному атакующему удаленно выполнять произвольные команды на почтовых серверах с определенными (не заводскими) настройками конфигурации. Хотя уязвимость была исправлена еще в феврале нынешнего года с выходом версии Exim 4.92, многие серверы по-прежнему остаются уязвимыми.

«На этой неделе MSRC (Microsoft Security Response Center – ред.) подтвердил наличие активного червя для Linux, использующего критическую уязвимость удаленного выполнения кода CVE-2019-10149 в почтовых серверах Linux Exim с версиями Exim от 4.87 до 4.91. Уязвимость не затрагивает пользователей Azure с установленной на виртуальных машинах версией Exim 4.92» – Microsoft

Важно отметить, что злоумышленники уже начали атаки на эту перспективную проблему, и баг эксплуатируют как минимум две хакерские группы. Одна из этих групп не только используют уязвимость в Exim и заражает уязвимые машины майнерами, но применяют саморазмножающийся компонент, который подобно червю может распространять эксплоит для Exim на другие серверы.

По данным Microsoft, Azure успешно ограничивает его распространение и не позволяет «плодиться» дальше. Тем не менее, клиентов предостерегают о том, что другая часть малвари по-прежнему работает. Хотя червь не сможет самостоятельно распространяться, взломанные машины Azure все равно останутся скомпрометированными и будут заражены майнером криптовалюты. Майнер ощутимо замедляет работу инфицированных систем, и, хуже того, злоумышленники могут в любой момент установить другие вредоносные программы на виртуальные машины Azure, используя ту же уязвимость в Exim.

Чтобы избежать такой ситуации, инженеры Microsoft настоятельно рекомендуют соблюдать рекомендации по безопасности, а также ограничивать сетевой доступ к виртуальным машинам, если на них работают уязвимые версии Exim, которые по какой-то причине еще не были обновлены до безопасной версии 4.92.

Эксперты АКБ напоминают, что за последний год облачные сервисы Microsoft Azure стали любимым хостингом киберпреступников, и ломятся от вредоносного инструментария, от фишинговых шаблонов до вредоносных программ и командных серверов C&C.

Самые плохие новости – эксперты выяснили, что на данный момент Azure не детектирует вредоносные программы, размещенные на серверах Microsoft. Т.е. если загрузить туда вирус, который распознают антивири, он так и будет там бродить. И что же он сможет сделать? Да много чего, напомним, например, что Renault, Nissan и Mitsubishi в этом году запустили облачную платформу для подключенных автомобилей на базе Microsoft Azure. Или, что через Azure можно взломать винду (через плитки).

Подписываемся, следим @CyberAgency

Related Post