Атаки ShellShock на SMTP

в 18:38, , рубрики: Песочница, метки: ,

Нам периодически присылают бюллетени безопасности.
Сегодня, вот, прислали по поводу атак ShellShock на SMTP. Подумалось перевести и кинуть ее сюда, вдруг кому пригодится.

В настоящее время наблюдается множество атак направленных на серверы SMTP и использующих уязвимость Bash (ShellShock). Цель атаки состоит в интеграции уязвимых серверов в некий «ботнет». Управление ботнетом происходит с помощью бота IRC, написанного на Perl, и устанавливаемого на зараженных машинах.

Первоначальная атака происходит с помощью параметров, передаваемых в почтовых заголовках и отформатированных специальным образом (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID и т.п...)

Затем, используя curl, wget, fetch злоумышленники скачивают IRC-бот с адреса 178.254.31.165 и запускают его.

Ссылки с чуть более подробным описанием атаки, а так же неким количеством технических деталей:

isc.sans.edu/diary/Shellshock+via+SMTP/18879
www.binarydefense.com/bds/active-shellshock-smtp-botnet-campaign/
threatpost.com/shellshock-exploits-targeting-smtp-servers-at-webhosts/109034
www.theregister.co.uk/2014/10/28/shellshocked_via_email_smtp_attacks_on_the_rise/

Поделиться

* - обязательные к заполнению поля