Hacker treten massive Angriffswelle gegen Exim-E-Mail-Server los

Mehrere Hackergruppen nehmen seit einigen Tagen E-Mail-Server ins Visier, die auf dem Mailserver Exim basieren. Sie versuchen, eine kürzlich bekannt gewordene Sicherheitslücke auszunutzen, um die Kontrolle über ungepatchte Server zu übernehmen. Bisher wurden mindestens zwei Gruppen identifiziert, die hinter der massiven Angriffswelle stecken.

Die fragliche Anfälligkeit mit der Kennung CVE-2019-10149 ist seit 5. Juni bekannt. Sie wird als „Return of the WIZard“ bezeichnet und erlaubt es Angreifern, aus der Ferne schädliche Nachrichten an anfällige Exim-Server zu verschicken, die wiederum Schadcode einschleusen und mit den Rechten des Exim-Prozesses ausführen – in den meisten Fällen sind dies Root-Rechte.

Die erste Welle startete dem Sicherheitsforscher Freddie Leeman zufolge bereits am 9. Juni. In den darauffolgenden Tagen habe die Gruppe ihren Angriff verfeinert und sowohl die Skripte als auch die eingeschleuste Malware verändert. Leeman geht davon aus, dass diese Gruppe bisher noch kein endgültiges Ziel für ihre Angriffe festgelegt hat.

Die zweite Gruppe soll seit 10. Juni aktiv sein und laut Magni Sigurdsson, Sicherheitsforscher bei Cyren, versuchen, eine Hintertür auf anfälligen Exim-Servern anzulegen. Dafür sollen die Hintermänner eine E-Mail an die Server schicken, die sie dazu bringt, ein Shell-Skript herunterzuladen und auszuführen. Das wiederum öffnet einen SSH-Zugang auf dem Server, und zwar mithilfe eines zuvor per Skript zum Root-Konto hinzugefügten SSH-Schlüssels.

„Das Skript selbst wird im Tor-Netzwerk gehostet“, erklärte Sigurdsson. „Sie gehen gegen Red Hat Enterprise Linux, Debian, OpenSuse und Alpine Linux vor.“

Die zweite Welle wurde auch vom Sicherheitsanbieter Cybereason entdeckt und analysiert. Demnach ist diese Gruppe weiterhin aktiv. Sie soll zudem ihre Aktivitäten ausgeweitet und somit auch in den Honeypots anderer Sicherheitsanbieter gelandet sein. Die Hintermänner setzen Cybereason zufolge inzwischen sogar eine Wurm-Komponente ein, um den Exim-Exploit an weitere Server zu verteilen. Auf kompromittierten Servern fanden die Sicherheitsforscher zudem Kryptominer.

Betreiber von Exim-Servern können sich vor den Angriffen schützen. Sie müssen lediglich ihre Installation auf die aktuellen Version 4.92 aktualisieren.