Sandworm continuă să exploateze vulnerabilități Exim

Russian hackers target NATO, Ukraine through Windows zero-day ...

Conform unui avertisment de securitate al Agenției de Securitate Națională a SUA (NSA), hackeri asociați serviciului rus de informații GRU exploatează vulnerabilitatea Exim (CVE-2019-10149) începând cu cel puțin luna iunie 2019. Gruparea de hackeri asociată acestui atac este Sandworm Team (aka Sandworm, Black Energy, BlackEnergy, Quedagh, Voodoo Bear, TEMP.Noble, Iron Viking). Sandworm Team este cunoscută încă din 2009, gruparea vizând în principal companii ucrainene din domeniul energetic, sisteme de control industrial SCADA, entități guvernamentale și mass-media.

In luna iunie 2019, o vulnerabilitate a fost descoperită în Exim mail server, un agent de transfer de mesaje open-source (MTA) folosit pentru a implementa servere de mail în sistemele Unix. Vulnerabilitatea ar putea permite atacatorilor să execute comenzi arbitrare de sistem atunci când trimit mesaje către un anumit destinatar. Exploatarea cu succes a acestei vulnerabilități permite atacatorului să efectueze executarea de comandă ca utilizator root în contextul serverului de mail. Un atacator ar putea instala programe, vizualiza, modifica sau șterge datele, sau crea conturi noi cu drepturi privilegiate. Sistemele afectate au fost Exim 4.87 – 4.91. Cercetările efectuate au arătat că următoarele adrese IP și domenii au fost asociate cu atacuri ale Sandworm Team:

  • 95.216.13.196
  • 103.94.157.5
  • hostapp.be.

Leave a Reply

Your email address will not be published. Required fields are marked *