La Agencia de Seguridad Nacional de EE. UU. (NSA) advirtió sobre una nueva ola de ataques cibernéticos contra servidores de correo electrónico, realizada por un actor de amenazas conocido como Sandworm Team.
En un aviso de seguridad publicado el jueves, la agencia dijo que los piratas informáticos de Sandworm han estado explotando una vulnerabilidad ( CVE-2019-10149 ) en el software del agente de transferencia de correo Exim (MTA) desde al menos agosto de 2019.
Exim es un software MTA ampliamente utilizado para sistemas basados en Unix y también viene preinstalado en algunas distribuciones de Linux. La vulnerabilidad en cuestión, que también se conoce como la falla "The Return of the WIZard", se encontró en las versiones del servidor de correo Exim 4.87 a 4.91 (incluidas). La falla se debe al hecho de que la aplicación no puede manejar adecuadamente las direcciones de los destinatarios debido al código en delivery_message () que permite a un atacante ejecutar comandos arbitrarios.
La explotación exitosa de esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar comandos con privilegios de root e instalar software, modificar datos y crear nuevas cuentas enviando correos electrónicos especialmente diseñados. La falla se corrigió en Exim versión 4.92 (lanzada el 10 de febrero de 2019).
“Cuando CVE-2019-10149 se explota con éxito, un actor puede ejecutar el código de su elección. Cuando Sandworm explotó CVE-2019-10149, la máquina víctima posteriormente descargaría y ejecutaría un script de shell desde un dominio controlado por Sandworm ", según el aviso de la NSA.
Este script de shell podría:
- Agregar usuarios privilegiados
- Deshabilitar la configuración de seguridad de red
- Actualice las configuraciones de SSH para permitir el acceso remoto adicional
- Ejecute un script adicional para permitir la explotación de seguimiento
La NSA insta a los administradores del sistema a actualizar Exim instalando la versión 4.93 o posterior para mitigar la falla mencionada anteriormente y otras vulnerabilidades.
"Existen otras vulnerabilidades y es probable que sean explotadas, por lo que debería usarse la última versión completamente parcheada", agregó la agencia.
