Plusieurs vulnérabilités affectant l’agent de transfert de messagerie Exim (MTA) ont été exploitées par des pirates informatiques liés à la Russie, et les administrateurs ont été invités à corriger immédiatement, mais des centaines de milliers de serveurs restent non corrigés.

La National Security Agency (NSA) des États-Unis a publié une alerte la semaine dernière pour exhorter les utilisateurs à mettre à jour leurs serveurs Exim vers la version 4.93 ou plus récente, car les versions antérieures sont affectées par des vulnérabilités qui ont été exploitées par un groupe de pirates ayant des liens avec l’armée russe.

La NSA a mentionné CVE-2019-10149, une vulnérabilité Exim qui permet l’exécution de code à distance en tant que root. La faille a été corrigée en février 2019 avec la sortie de la version 4.92, mais elle n’a été identifiée comme une vulnérabilité qu’en mai 2019 et son impact a été rendu public le mois suivant. Selon la NSA, il est exploité par des pirates informatiques parrainés par l’État russe depuis au moins août 2019.

Cependant, la société de renseignement sur les menaces RiskIQ indique que deux autres vulnérabilités Exim ont été exploitées dans la même campagne: CVE-2019-15846, une vulnérabilité d’exécution de code à distance corrigée en septembre 2019 qui affecte la version 4.92.1 et les versions antérieures, et CVE-2019 -16928, une vulnérabilité d’exécution de code et de DoS affectant les versions 4.92 à 4.92.2.

Au cours du mois de mai, RiskIQ a déclaré avoir identifié plus de 900 000 serveurs Exim vulnérables. Alors qu’une majorité exécute Exim 4.92, qui corrige CVE-2019-10149, les deux autres vulnérabilités exposent toujours les serveurs aux attaques, ce qui explique probablement pourquoi la NSA a conseillé aux utilisateurs de mettre à jour vers la version 4.93.

RiskIQ a noté que le nombre de serveurs vulnérables a régulièrement diminué en mai, mais il existe encore des centaines de milliers de serveurs vulnérables.

Une recherche Shodan montre actuellement plus d’un million de serveurs Exim exécutant la version 4.92 et plus de 250 000 instances avec la version 4.91.

Le groupe de menaces exploitant ces vulnérabilités est suivi comme Sandworm et TeleBots, …

Voir la source de cette publication