NSA alerta que hackers russos do tipo Sandworm se infiltraram no e-mail MTA Exim

Nesta semana, a NSA alertou o público que os ciber atores militares russos exploram uma versão do software de e-mail há vários meses, pelo menos. O sistema explorado é o software MTA para sistemas baseados em Unix, Exim mail – software que é instalado com várias distribuições Linux por padrão. Embora o patch original dessa vulnerabilidade tenha sido lançado no ano passado, muitos computadores ainda executam o Exim sem o referido patch.

A vulnerabilidade tem o nome de código CVE-2019-10149 – para que você saiba o que está enfrentando ao procurar, se ainda não tiver corrigido o problema antes de se infiltrar. A vulnerabilidade permite que um invasor remoto com conhecimento da exploração execute comandos e códigos de sua escolha.

O grupo russo recentemente descobriu que estava atacando com essa façanha foi o Sandworm, de acordo com o comunicado da NSA. Eles sugeriram que esses atores cibernéticos russos eram do campo GRU do Centro Principal de Tecnologias Especiais (GTsST), após o artigo 74455. “Os atores cibernéticos responsáveis ​​por esse programa cibernético malicioso”, disse um comunicado da NSA, “são conhecidos publicamente como equipe Sandworm. ”

De acordo com um comunicado oficial da NSA sobre a exploração, “Os atores russos, parte do Centro Principal de Tecnologias Especiais (GTsST) da Diretoria Geral de Informações Gerais (GTsST), usaram essa exploração para adicionar usuários privilegiados, desativar configurações de segurança de rede, executar procedimentos adicionais. scripts para exploração adicional da rede; praticamente o acesso dos sonhos de qualquer invasor – desde que essa rede esteja usando uma versão sem patch do Exim MTA. ”

O patch para essa exploração foi lançado meses atrás, com um aviso dos desenvolvedores do Exim. Agora a NSA está certificando-se de que eles também avisaram o público. De acordo com a NSA, “a NSA acrescenta seu incentivo para corrigir imediatamente a mitigação contra essa ameaça ainda atual”.

Com o lançamento dessas informações, a NSA sugeriu que “outros lançamentos de produtos cibernéticos e orientações técnicas” serão compartilhados no futuro a partir de seu novo identificador no Twitter. Eles estarão no @NSAcyber no Twitter, enquanto sua página oficial permanece em nsa.gov/cybersecurity/ neste exato momento.