信息來(lái)源:Freebuf
在數(shù)月前,美國(guó)情報(bào)界的Booz Allen Hamilton發(fā)布了一份綜合報(bào)告,提及GRU(俄羅斯軍事情報(bào)總局,格魯烏)與兩個(gè)黑客組織存在密切聯(lián)系,其中之一就是Sandworm(被指2015年和2016年烏克蘭斷網(wǎng)時(shí)間的幕后黑手)。
最近,外媒報(bào)道:俄羅斯軍方網(wǎng)絡(luò)威脅者Sandworm已經(jīng)利用一個(gè)版本的電子郵件服務(wù)器漏洞至少數(shù)月之久。
據(jù)了解,受影響的郵件系統(tǒng)是基于Unix的系統(tǒng)的MTA軟件——Exim mail,并且該軟件默認(rèn)安裝在許多Linux發(fā)行版中。至少?gòu)?019年8月開(kāi)始,Sandworm就一直在利用易受攻擊的Exim郵件服務(wù)器,將被黑的服務(wù)器用作目標(biāo)系統(tǒng)上的初始感染點(diǎn),并且轉(zhuǎn)移到受害者網(wǎng)絡(luò)的其他部分。
事實(shí)上,去年5月份,該漏洞已經(jīng)被披露,漏洞代碼為CVE-2019-10149,允許遠(yuǎn)程攻擊者在知道該漏洞的情況下執(zhí)行他們選擇的命令和代碼。盡管相關(guān)補(bǔ)丁也已發(fā)布,但是許多運(yùn)行Exim的計(jì)算機(jī)仍沒(méi)有安裝補(bǔ)丁,暴露在攻擊威脅之下。
目前,根據(jù)NSA的警告,攻擊者可以利用該漏洞,在未打補(bǔ)丁的Exim MTA版本中增加特權(quán)用戶、禁用網(wǎng)絡(luò)安全設(shè)置、執(zhí)行額外的腳本來(lái)進(jìn)一步利用網(wǎng)絡(luò)。此外,遭到入侵的郵件服務(wù)器還可以攔截所有傳入的郵件,并且在某些情況下,實(shí)現(xiàn)挖掘歷史郵件存檔。
盡管還不清楚Sandworm的具體意圖,但建議大家立即更新Exim以修復(fù)漏洞,梳理流量日志檢查是否被利用,而系統(tǒng)管理員可以使用軟件包管理器或通過(guò)從https://www.exim.org/mirrors.html下載最新版本,避免不必要的風(fēng)險(xiǎn)。