Americká Národná bezpečnostná agentúra (NSA) vydala vo štvrtok bezpečnostné odporúčanie, týkajúce sa neslávne známej ruskej skupiny Sandworm. Tá mala v posledných mesiacoch intenzívne zneužívať zraniteľnosť v softvéri Exim a napádať počítače pomocou e-mailov.
Exim je program na prenos elektronickej pošty medzi počítačmi a využívajú ho predovšetkým operačné systémy podobné UNIXu a taktiež niektoré linuxové distribúcie ako je Debian.
Nebezpečenstvo spočíva v deravých serveroch, na ktoré môžu hekeri zaslať e-mail obsahujúci škodlivé príkazy a získať tak vzdialený prístup ku sieti.
E-mailový server slúži ako vstupná brána ku kontrole celého zariadenia – útočníci následne dokážu do počítača inštalovať ďalšie programy, upravovať údaje, vytvárať nové užívateľské účty či znefunkčniť sieťové bezpečnostné opatrenia.
Škodlivé príkazy sú obsiahnuté v samotnom protokole na prepravu pošty (SMPT). Na zraniteľnosť SMTP protokolov upozornil v rozhovore pre portál ZDnet aj Richard Bejtlich, hlavný bezpečnostný stratég kyberbezpečnostnej spoločnosti Corelight:
„Sú perfektným cieľom pre protivníkov, pretože sú úzko spojené s internetom, narábajú s najcitlivejšími dátami a ľudia s nimi zaobchádzajú ako so zariadeniami, čo znamená, že pokiaľ fungujú, často na nich zabúdajú, a nie sú monitorované.“
How can you tell if your Exim server was owned by RU using CVE-2019-10149? Check your @Zeekurity #networksecuritymonitoring logs. Look at that lovely unencrypted HTTP callback. Zeek would likely have conn, HTTP, SMTP entries, and possibly files as well. https://t.co/E9RAeyaY7T pic.twitter.com/OTMLh9R0Z5
— Richard Bejtlich (@taosecurity) May 28, 2020
Hrozba podceňovaných aktualizácií
Okrem spätnej kontroly pokusov o zneužitie alebo neoprávnené zmeny v bezpečnostnej architektúre sietí vyzvala NSA na bezodkladnú aktualizáciu nainštalovaného Eximu.
Zraniteľnosť, ktorá slúžila ruským hekerom, sa objavila v softvérových verziách 4.87 a 4.91, pričom vývojári vydali aktualizáciu na jej zabezpečenie už v júni minulého roku. V tom čase vraj nič nenasvedčovalo tomu, že by chybu niekto aktívne zneužíval.
Podľa NSA hekeri napádajú nezaplátané servery od augusta 2019, a teda niekoľko týždňov po zverejnení výzvy k aktualizácii.
Softvér Exim využíva viac než polovica e-mailových serverov na internete. Podľa štatistík zo začiatku mája 2020 bola na bezpečnú verziu 4.93 aktualizovaná iba polovica z nich. Útokom tak bolo vystavených asi štvrť milióna serverov.
Stratégia „pomenovávania a zahanbovania“
NSA ukázala prstom na zodpovedného aktéra – ruskú APT skupinu Sandworm. Ide o operatívcov jednotky 74455 z hlavného strediska pre špeciálne technológie vojenskej rozviedky GRU.
Skupina je mimo iné zodpovedná za znefunkčnenie elektrickej infraštruktúry na Ukrajine v roku 2015, celosvetovo rozšíreného červa NotPetya, sabotážne aktivity počas posledných prezidentských volieb v USA či útoky na štátne webstránky v Gruzínsku na jeseň minulého roka.
„Stále ich považujeme za jedného z najviac, ak nie najviac agresívneho a nebezpečného aktéra, ktorého pozorujeme, “ vyjadril sa pre Wired John Hultquist, riaditeľ spravodajstva spoločnosti FireEye a jeden z objaviteľov skupiny Sandworm.
(KU)