Vulnerabilidades Exim explotadas por grupo APT ruso

03 Junio 2020
Alto

Los miembros del grupo de hackers ruso Sandworm están explotando activamente tres vulnerabilidades críticas que permiten ejecutar comandos o códigos de forma remota en los servidores de correo Exim. Cerca de un millón de servidores Exim están actualmente expuestos y son vulnerables, aunque el número se reduce gradualmente cada día. 

Exim

Exim Mail Transfer Agent (MTA), es un agente de transporte de correo desarrollado por la Universidad de Cambridge y puede ser utilizado en la mayoría de los sistemas Unix. Si bien puede compilarse en sistemas operativos Windows, se recomienda que sea utilizado en producción sobre sistemas operativos de la familia Unix.

Campaña de ataque 

La Agencia de Seguridad Nacional de EE. UU. (NSA) emitió una alerta la semana pasada para instar a los usuarios a actualizar sus servidores Exim a la versión 4.93 o más nueva, ya que las versiones anteriores se ven afectadas por vulnerabilidades que han sido explotadas por un grupo de hackers con vínculos con el ejército ruso.

CVE-2019-10149

La NSA mencionó CVE-2019-10149, una vulnerabilidad Exim que permite la ejecución remota de código como root. La falla se corrigió en febrero de 2019 con el lanzamiento de la versión 4.92, pero solo se identificó como una vulnerabilidad en mayo de 2019. Según la NSA, ha sido explotada por hackers patrocinados por el estado ruso desde al menos agosto de 2019.

CVE-2019-15846 y CVE-2019 -16928

Sin embargo, la compañía de inteligencia de amenazas RiskIQ dice que hay otras dos vulnerabilidades Exim que han sido explotadas en la misma campaña: CVE-2019-15846, una vulnerabilidad de ejecución remota de código parcheada en septiembre de 2019 que afecta la versión 4.92.1 y anteriores, y CVE-2019 -16928, una vulnerabilidad de ejecución de código y DoS que afecta a las versiones 4.92 a 4.92.2.

En el transcurso de mayo, RiskIQ dijo que identificó más de 900,000 servidores Exim vulnerables. 

Sandworm Team

Sandworm Team es un grupo ruso de ciberespionaje que opera desde aproximadamente 2009. El grupo probablemente esté formado por pro-hacktivistas rusos. Sandworm Team se dirige principalmente a entidades asociadas con energía, sistemas de control industrial, SCADA, gobierno y medios de comunicación. Si bien la NSA no ha publicado ninguna información sobre los objetivos de esta campaña, se sabe que Sandworm ataca a una amplia gama de organizaciones en Europa y Estados Unidos.

PANORAMA

La revelación de la NSA de que un grupo militar ruso está apuntando a una vulnerabilidad de código abierto, informada hace casi un año, es un ejemplo extremo de lo que puede suceder cuando las empresas no practican la higiene adecuada del software o cuando no tienen políticas fuertes para el parcheado de sus servicios informáticos.

Se recomienda lo siguiente:

  • Instalar a la versión Exim actual 4.94 del sitio web del proveedor.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instale y actualice parches para mantener sus sistemas seguros en todos los sistemas de su red. Las actualizaciones de seguridad permitirán que los ciberdelincuentes tengas menos opciones de explotación de su red, volviéndolo un blanco menos llamativo.

El listado de las CVE se adjunta a continuación:


Tags: #Sandworm #apt #vulnerabilidades #servidores #correo #Exim
  • Productos Afectados
  • Producto Versión
    Exim anterior a 4.93


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.