国家安全局警告自2019年以来,与俄罗斯有联系的APT组织正在利用Exim漏洞

美国国家安全局(NSA)警告,与俄罗斯挂钩的APT小组追踪的Sandworm团队至少自2019年8月以来一直在利用Exim邮件传输代理(MTA)软件中的一个严重漏洞(CVE-2019-10149)。
CVE-2019-10149漏洞,又名“巫师的回归,”影响版本4.87到4.91  进出口  邮件传输代理(MTA)软件。未经身份验证的远程攻击者可以利用此问题在邮件服务器上针对某些非默认服务器配置执行任意命令。 该缺陷存在于/src/deliver.c中的liver_message()函数中,这是由于收件人地址验证不正确引起的。该问题可能导致在邮件服务器上具有root特权的远程代码执行。 “至少从去年八月开始,俄罗斯军事网络参与者(俗称Sandworm Team)就一直在利用Exim邮件传输代理(MTA)软件中的漏洞。” 阅读NSA发布的建议。“俄罗斯行为者是总参谋部情报总局(GRU)特殊技术主要中心(GTsST)的一部分,利用这一漏洞来添加特权用户,禁用网络安全设置,执行其他脚本以进一步利用网络;只要该网络使用的是Exim MTA的未修补版本,几乎任何攻击者的梦想访问权限。” “美国国家安全局(NSA)鼓励立即修补以减轻这种仍然存在的威胁。” GRU专门技术(GTsST)黑客主要中心  在2019年6月发布更新后,属于俄罗斯GRU特殊技术主要中心(GTsST)下属74455单位的黑客正在利用Exim问题。 “演员通过在SMTP(简单邮件传输协议)消息的“ MAIL FROM”字段中发送命令,在面向公众的MTA上使用Exim软件来利用受害者。” 陈述咨询。 国家安全局发布的示例“ MAIL FROM”利用命令下方:
俄罗斯政府赞助的黑客利用此漏洞从受其控制的域中下载Shell脚本,并使用它来“添加特权用户,禁用网络安全设置,更新SSH配置以启用其他远程访问,执行其他脚本以启用以下功能:剥削。” NSA建议通过安装4.93版或更高版本立即修补Exim服务器。 “通过安装4.93或更高版本来立即更新Exim,以缓解此漏洞和其他漏洞。还存在其他漏洞,并且很可能会利用这些漏洞,因此应使用最新的完整修补程序版本。使用早期版本的Exim会使系统容易受到利用。系统管理员应不断检查软件版本并在有新版本可用时进行更新。” NSA总结。“管理员可以通过其Linux发行版的程序包管理器或通过从https://exim.org/mirrors.html下载最新版本来更新Exim Mail Transfer Agent软件。” NSA的建议还包括危害指标以及有关如何检测利用尝试和未经授权的更改的说明。 不幸的是,在线公开的易受攻击的Exim安装数量仍然很高,向Shodan查询在线公开的安装数量,我们可以拥有超过2,481,000台服务器,其中有超过  2,400,000台服务器  运行已修补的Exim 4.93版本。
0 0 vote
Article Rating

未经允许不得转载:x-sec » 国家安全局警告自2019年以来,与俄罗斯有联系的APT组织正在利用Exim漏洞

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x