Η ενημέρωση των Exim mail servers δεν είναι αρκετά γρήγορη και τα μέλη της ρωσικής ομάδας hacker Sandworm εκμεταλλεύονται ενεργά τρεις κρίσιμες ευπάθειες που επιτρέπουν την απομακρυσμένη εκτέλεση εντολών ή κώδικα από απόσταση.
Σχεδόν ένα εκατομμύριο Exim servers είναι εκτεθειμένοι και ευάλωτοι, αν και ο αριθμός σταδιακά μειώνεται καθημερινά. Το Exim 4.93 θεωρείται αυτή τη στιγμή μια ασφαλής έκδοση.
Ευρύτερη εκστρατεία επίθεσης
Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ (NSA) προειδοποίησε την Πέμπτη ότι από τον Αύγουστο του περασμένου έτους, οι hackers έχουν αξιοποιήσει το CVE-2019-10149 (“The Return of the WIZard”).
Το ελάττωμα επιτρέπει την εκτέλεση απομακρυσμένων εντολών σε servers με εγκατεστημένα τα Exim 4.87 έως 4.91. Διορθώθηκε τον Ιούνιο του 2019. Οι hackers το εκμεταλλεύτηκαν στέλνοντας στο στόχο ένα επεξεργασμένο email με μια εντολή που προστέθηκε στο πεδίο “MAIL FROM:”.
Οι ερευνητές στο RiskIQ διαπίστωσαν ότι οι επιθέσεις του Sandworm χρησιμοποιούν δύο ακόμη σφάλματα ασφαλείας σε unpatched Exim servers. Και τα δύο είναι κρίσιμα και μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτότητας για την εκτέλεση κώδικα ή εφαρμογών με δικαιώματα root:
- Το CVE-2019-15846 – επηρεάζει όλες τις εκδόσεις Exim έως και 4.92.1, που αναφέρθηκαν τον Ιούλιο του 2019 και ενημερώθηκαν στις αρχές Σεπτεμβρίου 2019
- Το CVE-2019-16928 – επηρεάζει όλους τους Exim servers 4,92 έως 4,92,2, έλαβε μια επιδιόρθωση στα τέλη Σεπτεμβρίου 2019
Από την 1η Μαΐου, οι ερευνητές του RiskIQ παρατήρησαν στη βάση δεδομένων πληροφοριών διαδικτύου της εταιρείας ότι υπήρχαν περισσότεροι από 900.000 ευάλωτοι servers.
Σύμφωνα με τα δεδομένα τους, οι οργανισμοί άρχισαν να ενημερώνουν τους Exim mail servers και καταγράφηκαν λιγότερες ευάλωτες εκδόσεις τον τελευταίο μήνα. Ωστόσο, η μετάβαση σε μια ενημερωμένη έκδοση είναι αργή.
Μια σύντομη ματιά στο Shodan, δείχνει λίγο πάνω από ένα εκατομμύριο Exim servers (4.92) στο διαδίκτυο, οι περισσότεροι από τους οποίους βρίσκονται στις Ηνωμένες Πολιτείες, με τη Γερμανία και τη Ρωσία να ακολουθούν.
Η NSA παρέχει δύο διευθύνσεις IP και ένα όνομα domain που σχετίζεται με τη δραστηριότητα του Sandworm, για να βοηθήσει τους οργανισμούς να προσδιορίσουν εάν έχουν στοχευτεί από τον παράγοντα απειλής.
- 95.216.13.196
- 103.94.157.5
- hostapp.be
Ο Florian Roth, Nextron Systems CTO, δημοσίευσε ένα εργαλείο που μπορεί να ανιχνεύσει τη δραστηριότητα του Sandworm χρησιμοποιώντας κανόνες και δείκτες συμβιβασμού (IOC) με βάση δείγματα που προέρχονται από την έκθεση της NSA.
Το πρακτορείο αναφέρει ότι οι εισβολείς χρησιμοποίησαν το CVE-2019-10149 για να κατεβάσουν και να εκτελέσουν ένα script που τους επέτρεψε να “προσθέσουν προνομιούχους χρήστες, να απενεργοποιήσουν τις ρυθμίσεις ασφάλειας δικτύου, να ενημερώσουν τις διαμορφώσεις SSH για να επιτρέψουν επιπλέον απομακρυσμένη πρόσβαση, να εκτελέσουν ένα επιπλέον script για να επιτρέψουν την συνεχή εκμετάλλευση.”
Το script τους έδωσε πλήρη πρόσβαση στους παραβιασμένους servers και σε όλες τις βάσεις δεδομένων MySQL που εκτελούνται σε αυτό.
