Hackers russi che sfruttano la vulnerabilità Exim dal 2019

Hackers russi che sfruttano la vulnerabilità Exim dal 2019

L'NSA avverte che gli hacker russi sfruttano la vulnerabilità di Exim (CVE-2019-10149) almeno dallo scorso agosto. Il gruppo di hacker APT collegato all'attacco è il Sandworm Team.

Il team Sandworm è noto per essere attivo dal 2009 e il gruppo si rivolge principalmente a entità ucraine associate a energia, sistemi di controllo industriale, SCADA, governo e media.

Hacker che sfruttano la vulnerabilità Exim

Exim è un noto agente di trasferimento di posta (MTA) preinstallato con alcune distribuzioni Linux come Debian. Lo scorso giugno, Exim ha corretto la vulnerabilità legata all'esecuzione di codice in modalità remota remota che interessa le versioni tra Exim da 4.87 a 4.91. La vulnerabilità è stata risolta con Exim 4.92.

La vulnerabilità può essere sfruttata da un utente remoto non autenticato inviando un'e-mail appositamente predisposta per eseguire comandi con privilegi di root.

Se la vulnerabilità viene sfruttata correttamente, gli aggressori sono in grado di installare programmi, modificare dati e creare nuovi account.

"Quando Sandworm sfruttava CVE-2019-10149 , la macchina vittima scaricava ed eseguiva successivamente uno script di shell da un dominio controllato da Sandworm."

Di seguito sono riportati gli script che gli attaccanti possono eseguire;

  • aggiungere utenti privilegiati
  • disabilitare le impostazioni di sicurezza della rete
  • aggiorna le configurazioni SSH per abilitare l'accesso remoto aggiuntivo
  • eseguire uno script aggiuntivo per abilitare lo sfruttamento successivo

L'uso di una versione precedente di Exim rende il sistema vulnerabile. Si consiglia agli amministratori di sistema di aggiornare con l'ultima versione per mitigare gli attacchi.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.