La NSA advierte sobre posibles exploits en servidores Exim por parte de piratas informáticos rusos

NSA advirtió que un grupo de ciberespionaje ruso llamado gusano de arena Se dice que está explorando Exim servidores de correo electrónico desde mediados de 2019. Estos ataques pueden dar acceso a la raíz y plantar puertas traseras para futuras vulnerabilidades, dice la NSA. Aunque el parche para esta vulnerabilidad se lanzó el año pasado, todavía hay millones de servidores expuestos a este ataque.

Millones de servidores de correo electrónico conectados a Internet

La NSA advierte sobre posibles exploits en servidores Exim por parte de piratas informáticos rusos
La NSA advierte sobre posibles exploits en servidores Exim por parte de piratas informáticos rusos

Exim es un agente de transferencia de correo (MTA) gratuito que se ejecuta en un sistema operativo similar a Unix. Ha sido utilizado por millones de administradores de organizaciones públicas y privadas. En agosto de 2019, los investigadores revelaron una vulnerabilidad crítica en los servidores Exim llamada El regreso del mazo (CVE-2019-10149). Esto permite a los piratas informáticos ejecutar comandos en las raíces de los servidores desbloqueados mediante el envío de un script malicioso.

Agencia de Seguridad Nacional (NSA) dijo que los piratas informáticos del Centro Principal GRU de Tecnologías Especiales (GTsST) de la Unidad 74455, que se atribuyen a ser un grupo respaldado por el estado ruso, han estado explotando esta falla desde su divulgación el año pasado. Microsoft ha alertado a los administradores del sistema de esta vulnerabilidad y les ha recomendado que actualicen un parche lanzado en 5 de junio de 2019. Sin embargo, hay millones de servidores aún expuestos a esta vulnerabilidad, como dijo BleepingComputer.

Consecuencias y soluciones alternativas

En consecuencia, el pirata informático enviaría un correo electrónico creado con fines malintencionados con un comando en el campo MAIL FROM de un mensaje SMTP. Una vez recibido, descargará un script de shell tomado del dominio del hacker, que

  • Agregar usuarios privilegiados (como piratas informáticos)
  • Actualice la configuración de SSH para habilitar el acceso remoto.
  • Desactive la configuración de seguridad de la red y
  • Ejecute un script adicional para permitir una exploración posterior.

Los investigadores ya han publicado el parche para esta vulnerabilidad e instan a los administradores a actualizar de inmediato. Los administradores del servidor pueden descargar el última versión 4.93 a través del administrador de paquetes de su distribución de Linux oa través del Sitio del Exim. Lea más sobre los indicadores de compromiso y asesoramiento de la NSA para su protección.

A través de la: ZDNet | BleepingComputadora