Linux-worm infecteert Exim-e-mailservers en neemt ongepatchte systemen over

Microsoft waarschuwt Azure-klanten voor een Linux-worm die Exim-e-mailservers met het beveiligingslek CVE-2019-10149 infecteert. Het lek stelt aanvallers in staat externe opdrachten uit te voeren en ongepatchte systemen over te nemen.

De worm gebruikt het beveiligingslek om een ​​server over te nemen en scant vervolgens het internet naar andere servers, die het zo ook weer probeert te infecteren. Daarna wordt op de huidige host een cryptocurrency-miner geplaatst, aldus Cybereason, het cybersecuritybedrijf dat de worm ontdekte. 

Exim-installaties met versies 4.87 tot 4.91 zijn kwetsbaar. Het is volgens Microsoft raadzaam Exim-installaties die op Azure-machines worden uitgevoerd, bij te werken naar de gepatchte versie Exim 4.92. Volgens een enquête van Security Space eerder deze maand draait 57 procent van de op internet zichtbare e-mailservers op Exim. Het zou in totaal gaan om 507.389 e-mailservers. al zijn er andere rapporten die spreken over een vertienvoudiging van het aantal, ruim 5,4 miljoen.

Azure-infrastructuur

Volgens ZDnet zou de Linux-worm inmiddels enkele Azure-installaties hebben geïnfecteerd. Het richt zich op servers die Exim draaien, een zogeheten mail transfer agent (MTA). De betreffende software wordt uitgevoerd op Linux gebaseerde e-mailservers om zo e-mails van afzenders naar ontvangers door te sturen. Hoewel ook Azure-infrastructuur door deze worm is getroffen, beschikt de infrastructuur volgens Microsoft over voorzieningen om de verspreiding van deze worm te beperken.

De worm is volgens de softwarereus mogelijk niet in staat zichzelf te verspreiden door het internet te scannen en zichzelf te repliceren. Toch zouden gehackte Azure-machines aangetast en besmet blijven met een cryptocurrency-miner, die geïnfecteerde systemen vertraagt. Ook zouden hackers in staat zijn op een later moment andere malware op Azure-virtuele machines te droppen. Het gaat dan om machines met  dezelfde Exim-kwetsbaarheid.

Patchen of wissen

“Aangezien dit beveiligingslek actief wordt misbruikt door wormactiviteit, raadt Microsoft Security Response Center klanten aan Azure-beveiligingsmethoden en patronen te bekijken. Bovendien moeten gebruikers de netwerktoegang voor virtuele machines patchen of beperken. Het gaat dan om virtuele machines waarop de betreffende versies van Exim worden uitgevoerd”, aldus JR Aquino, Manager van Azure Incident Response bij Micrsoft. 

Geïnfecteerde Azure-systemen moeten worden gewist en gebruikers moeten helemaal opnieuw worden geïnstalleerd of wel worden hersteld vanaf een eerdere back-up.

Lees ook: Microsoft Azure populairste cloudprovider in België