Sårbarheder i Exim mail transfer forsøges udnyttet

Amerikanske NSA advarer om, at russisk cyberspionagegruppe aktivt udnytter sårbarhed i Exim Mail transfer agent.

Selv om en patch har været tilgængelig siden august, sender det amerikanske National Security Agency nu en advarsel ud om, at der kan ses aktiv udnyttelse af sårbarhederne. NSA skriver i advarslen, at det er russiske cyberaktører, som kendes under navnet Sandworm, som står bag udnyttelsen.

Exim er MTA software brugt i Unix-baserede systemer og leveres ofte præ-installeret i visse Linux-distributions.

Udnyttelse af sårbarheden gør det muligt for en angriber at afvikle kode på systemet. Det oplyses i advarslen, at sårbarheden bruges til at tilføje brugere, deaktivere sikkerhedsfeatures og afvikle yderligere scripts mhp. senere udnyttelse i netværket. Som NSA tørt konstaterer, er det en hackers drømmeadgang, så længe netværket bruger en ikke opdateret version af Exim MTA.

Derfor opfordres brugere til at opdatere til den seneste version. Efter det oplyste er der op mod en million Exim servere, der er eksponeret og sårbare.

Links:

https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2196511/exim-mail-transfer-agent-actively-exploited-by-russian-gru-cyber-actors/

https://www.riskiq.com/blog/labs/vulnerable-exim-mail-servers/
https://www.bleepingcomputer.com/news/security/critical-exim-bugs-being-patched-but-many-servers-still-at-risk/