Explotación de servidores EXIM con vulnerabilidades críticas

La Agencia Nacional de Seguridad avisó que, desde agosto del año pasado, los cibercriminales han estado explotando la vulnerabilidad CVE-2019-10149 en los servidores de correo EXIM, la cual fue parcheada en septiembre de 2019.

La solución de errores de seguridad de Exim no va lo suficientemente rápido y los miembros del grupo ruso de crackers Sandworm están aprovechándose activamente, ya que estos errores les permiten la ejecución de código remoto o comandos en los servidores. Cerca de un millón de servidores Exim están expuestos y son vulnerables a estos fallos, pero el número desciende gradualmente cada día. En la versión 4.93, estas vulnerabilidades ya han sido corregidas.

Esta vulnerabilidad permite ejecutar comandos en servidores que tengan instalados Exim desde las versiones 4.87 a la 4.91. Los atacantes la explotaban enviando al objetivo un email con un comando añadido al campo MAIL FROM.

Los investigadores de seguridad de RiskIQ, vieron que los ataques del grupo Sandworm usan dos vulnerabilidades más en servidores sin parchear. Ambas son criticas y pueden ser explotadas remotamente sin autenticación para ejecutar código o aplicaciones con privilegios de root.

Tras un análisis a nivel global, podemos ver que hay sobre un millón de servidores no parcheados en línea, muchos de ellos situados en EEUU, seguidos de Alemania y Rusia. La NSA proporciono varios IoC relacionados con actividad del grupo Sandworm, para ayudar a las organizaciones a determinar si habían sido víctimas de un ataque.

Leave a Reply

Your email address will not be published. Required fields are marked *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity