Хакер #305. Многошаговые SQL-инъекции
Как мы уже писали, в начале июня 2019 года исследователи обнаружили опасную проблему CVE-2019-10149 в почтовом агенте Exim (версии 4.87-4.91), позволяющую злоумышленникам запускать команды от имени root на удаленных почтовых серверах.
Еще на прошлой неделе ИБ-эксперты предупредили, что злоумышленники уже начали атаки на эту перспективную проблему, и баг эксплуатируют как минимум две хакерские группы. Так, одна из этих групп не только используют уязвимость в Exim и заражает уязвимые машины майнерами, но применяют саморазмножающийся компонент, который подобно червю может распространять эксплоит для Exim на другие серверы.
Теперь специалисты Microsoft предупредили, что инфраструктура Azure также пострадала от этого червя. К счастью, по данным компании, Azure успешно ограничивает его распространение и не позволяет «плодиться» дальше.
Однако клиентов предостерегают о том, что другая часть малвари по-прежнему работает. Хотя червь не сможет самостоятельно распространяться, взломанные машины Azure все равно останутся скомпрометированными и будут заражены майнером криптовалюты. Майнер ощутимо замедляет работу инфицированных систем, и, хуже того, злоумышленники могут в любой момент установить другие вредоносные программы на виртуальные машины Azure, используя ту же уязвимость в Exim.
Инженеры Microsoft настоятельно рекомендуют соблюдать рекомендации по безопасности, а также ограничивать сетевой доступ к виртуальным машинам, если на них работают уязвимые версии Exim, которые по какой-то причине еще не были обновлены до безопасной версии 4.92.