30 Maggio 2020 - Tempo di lettura: 5 minuti
L'NSA avverte che gli hacker russi sfruttano la vulnerabilità di Exim (CVE-2019-10149) almeno dallo scorso agosto. Il gruppo di hacker APT collegato all'attacco è il Sandworm Team.
Il team Sandworm è noto per essere attivo dal 2009 e il gruppo si rivolge principalmente a entità ucraine associate a energia, sistemi di controllo industriale, SCADA, governo e media.
Exim è un noto agente di trasferimento di posta (MTA) preinstallato con alcune distribuzioni Linux come Debian. Lo scorso giugno, Exim ha corretto la vulnerabilità legata all'esecuzione di codice in modalità remota remota che interessa le versioni tra Exim da 4.87 a 4.91. La vulnerabilità è stata risolta con Exim 4.92.
La vulnerabilità può essere sfruttata da un utente remoto non autenticato inviando un'e-mail appositamente predisposta per eseguire comandi con privilegi di root.
Se la vulnerabilità viene sfruttata correttamente, gli aggressori sono in grado di installare programmi, modificare dati e creare nuovi account.
"Quando Sandworm sfruttava CVE-2019-10149 , la macchina vittima scaricava ed eseguiva successivamente uno script di shell da un dominio controllato da Sandworm."
Di seguito sono riportati gli script che gli attaccanti possono eseguire;
L'uso di una versione precedente di Exim rende il sistema vulnerabile. Si consiglia agli amministratori di sistema di aggiornare con l'ultima versione per mitigare gli attacchi.