NSA

NSA: grupo APT ruso explotó la vulnerabilidad CVE-2019-10149

NSA
NSA

La NSA advierte que el grupo APT vinculado a Rusia que rastreó al equipo Sandworm que ha estado explotando la vulnerabilidad crítica (CVE-2019-10149) en el software del agente de transferencia de correo Exim (MTA) desde al menos agosto de 2019.

La falla CVE-2019-10149 , también conocida como “El retorno del asistente”, afecta las versiones 4.87 a 4.91 del  software del agente de transferencia de correo Exim (MTA). 

El problema podría ser explotado por atacantes remotos no autenticados para ejecutar comandos arbitrarios en servidores de correo para algunas configuraciones de servidor no predeterminadas.

La falla reside en la función deliver_message () en /src/deliver.c y es causada por la validación incorrecta de las direcciones de los destinatarios. 

El problema podría conducir a la ejecución remota de código con privilegios de root en el servidor de correo.

“Los ciber-actores militares rusos, conocidos públicamente como Sandworm Team, han estado explotando una vulnerabilidad en el software del agente de transferencia de correo Exim (MTA) desde al menos en agosto pasado”. lee el aviso publicado por la NSA. 

“Los actores rusos, parte del Centro Principal de Tecnologías Especiales (GTsST) de la Dirección General de Inteligencia del Estado Mayor (GRU), han utilizado este exploit para agregar usuarios privilegiados, deshabilitar la configuración de seguridad de la red, ejecutar secuencias de comandos adicionales para una mayor explotación de la red; prácticamente el acceso soñado de cualquier atacante, siempre y cuando esa red esté utilizando una versión sin parches de Exim MTA “.

“La NSA agrega su aliento para parchear inmediatamente para mitigar esta amenaza aún actual”.

Hackers del GRU Main Center for Special Technologies (GTsST) 

Los hackers que pertenecen a la Unidad 74455, bajo el Centro Principal de Tecnologías Especiales de Rusia GRU (GTsST), están explotando el problema Exim después de que se emitió una actualización en junio de 2019.

“Los actores explotaron a las víctimas utilizando el software Exim en sus MTA públicas enfrentando un comando en el campo” CORREO DESDE “de un mensaje SMTP (Protocolo simple de transferencia de correo)”. declara el aviso.

Debajo de un ejemplo de comando de explotación “CORREO DESDE” publicado por la NSA:

Exim CVE 2019 10149

Los hackers patrocinados por el estado ruso aprovechan la vulnerabilidad para descargar un script de shell desde un dominio bajo su control y usarlo para “agregar usuarios privilegiados, deshabilitar la configuración de seguridad de la red, actualizar las configuraciones SSH para permitir el acceso remoto adicional, ejecutar un script adicional para permitir sobre la explotación “.

La NSA recomienda parchar los servidores Exim inmediatamente instalando la versión 4.93 o posterior.

“Actualice Exim inmediatamente instalando la versión 4.93 o posterior para mitigar esta y otras vulnerabilidades. Existen otras vulnerabilidades y es probable que sean explotadas, por lo que se debe usar la última versión completamente parcheada. 

El uso de una versión anterior de Exim deja un sistema vulnerable a la explotación. 

Los administradores del sistema deben verificar continuamente las versiones del software y actualizarlas a medida que estén disponibles nuevas versiones “. concluye la NSA. 

“Los administradores pueden actualizar el software del Agente Exim Mail Transfer a través del administrador de paquetes de su distribución de Linux o descargando la última versión de https://exim.org/mirrors.html”.

El aviso de la NSA también incluye indicadores de compromiso e instrucciones sobre cómo detectar intentos de explotación y cambios no autorizados.

Desafortunadamente, el número de instalaciones vulnerables de Exim expuestas en línea sigue siendo alto, al consultar a Shodan por las instalaciones expuestas en línea, podemos más de 2,481,000 servidores , con más de  2,400,000 servidores que  ejecutan la versión parcheada de Exim 4.93. 

Por Marcelo Lozano – General Publisher IT Connect Latam