(снимка: CC0 Public Domain)
За нова вълна от кибератаки срещу пощенски сървъри, идваща от Русия и по-конкретно от специализирани служби за кибершпионаж, алармира в официално изявление Националната агенция за сигурност на САЩ (NSA).
От агенцията твърдят, че членове на Звено 74445 към ГРУ (Главно разузнавателно управление) атакуват имейл сървъри, управлявани от популярния пощенски агент с отворен код Exim.
В информацията се посочва, че атаките датират още от средата на август месец миналата година. Те се възползват от критична уязвимост в Exim, регистрирана от Националният институт по стандарти и технологии (NIST) под номер CVE-2019-101149.
Уязвимостта дава възможност за изпълнение на команди от разстояние върху уязвимия сървър, поради неправилна валидация на имейл адрес на получателя. „Когато се изпълни успешно атаката CVE-2019-101149, сървърът на жертвата ще изтегли и изпълни shell скрипт от домейн, контролиран от Звено 74445”, поясняват от NSA.
Скриптът се изпълнява по следния начин:
- добавя потребител с високо ниво на системен достъп;
- блокира достъп до промяна на мрежови настройки на заразения Exim сървър;
- гарантира SSH отдалечен достъп на новия потребителски акаунт;
- изпълнява допълнителни команди и скриптове.
В обръщението си NSA настоява частните и правителствени организации да обърнат по-специално внимание върху проблема и да актуализират техните сървъри до версия 4.93, а също така да проверят системите си за наличие на следи от неоторизиран достъп.
4 коментара
пощенски агент с отворен код
Фофу е много гъст с руснаците… Знае всички хора на които те им плащат.
И един рубладжия заработи няколко рубли.
…а един мармот завиваше шоколада в станиол …