La National Security Agency (NSA) des États-Unis a émis un avis de cybersécurité avertissant que le groupe de piratage militaire russe responsable de l'ingérence lors de l'élection présidentielle de 2016 exploite une vulnérabilité critique à Exim depuis août dernier ou avant.
Pour ceux qui ne connaissent pas Exim, le logiciel est un agent de transfert de courrier (MTA) qui s'exécute en arrière-plan des serveurs de messagerie. Le logiciel est actuellement le MTA le plus populaire et une grande raison à cela est dû au fait qu'il est fourni avec de nombreuses distributions Linux populaires, notamment Debian et Red Hat.
Le moment de l'avis de la NSA est un peu étrange, car la vulnérabilité critique d'Exim était identifié il y a 11 mois et un correctif a déjà été publié pour résoudre le problème.
Selon le président de Rendition Infosec et ancien hacker du gouvernement américain, Jake Williams, qui s'est entretenu avec le Presse associée, Exim est si largement utilisé que certaines entreprises et agences gouvernementales qui exécutent le logiciel n'ont peut-être pas encore corrigé la vulnérabilité. Il pense que la NSA a peut-être publié son nouvel avis pour attirer l'attention sur le groupe militaire russe connu sous le nom de Sandworm qui a exploité la vulnérabilité critique d'Exim dans ses attaques.
Sommaire
Sandworm
Dans son avis, la NSA a fourni plus de détails sur la vulnérabilité d'Exim que Sandworm exploite activement, en disant:
«La vulnérabilité exploitée, CVE-2019-10149, permet à un attaquant distant d'exécuter des commandes et du code de son choix. Les acteurs russes, qui font partie du Centre principal des technologies spéciales de la Direction générale des renseignements généraux (GRU) de l’état-major, ont utilisé cet exploit pour ajouter des utilisateurs privilégiés, désactiver les paramètres de sécurité du réseau, exécuter des scripts supplémentaires pour une exploitation ultérieure du réseau; à peu près l'accès de rêve de n'importe quel attaquant – tant que ce réseau utilise une version non corrigée d'Exim MTA. "
Bien que la NSA n'ait pas révélé qui les hackers militaires russes ont ciblé, ces derniers mois, de hauts responsables du renseignement américain ont averti que des agents du Kremlin étaient actuellement engagés dans des activités en ligne qui pourraient menacer l'intégrité de l'élection présidentielle de 2020 dans le pays.
Les organisations et les agences gouvernementales qui utilisent Exim doivent appliquer ce correctif immédiatement si elles ne l'ont pas déjà fait pour éviter d'être victimes d'attaques potentielles.
Via MSN
