LOGOTD2016 2

Martes 07 de Julio de 2020

+57(1) 361 87 14

Piratas informáticos rusos apuntan a los servidores de correo electrónico vulnerables

Un grupo de ciberdelincuentes, respaldado por el gobierno ruso, ha estado explotando silenciosamente una vulnerabilidad crítica de ejecución de código remoto en los servidores de correo electrónico Exim desde 2019, advirtió la Agencia de Seguridad Nacional de los Estados Unidos.

 

De acuerdo a lo informado por la NSA, esta campaña de hacking es obra de un grupo llamado Sandworm -también conocido como Fancy Bear, BlackEnergy Actors, Cyber Berkut, CyberCaliphate y Pawnstorm- que ha sido vinculado a una serie anterior de sofisticadas campañas de ciberespionaje en los Estados Unidos y Europa.

 

Recientemente, Sandworm se ha dirigido a Exim, un agente de transferencia de correo de uso común que se encuentra en los sistemas operativos de Unix. Los criminales están explotando una vulnerabilidad de recepción de correo electrónico en la versión 4.87 de Exim, rastreada como CVE-2019-10149, que podría permitir la ejecución remota de código dentro del servidor web de la víctima, según la alerta de la NSA.

 

Si se explota con éxito, esta vulnerabilidad permite a los atacantes ejecutar comandos con privilegios de root que pueden permitirles instalar programas, modificar datos y crear nuevas cuentas, según la alerta.

 

Aunque Exim publicó un parche para esta falla en junio de 2019, la NSA señala que Sandworm sigue apuntando a los servidores de correo electrónico no parcheados y vulnerables de Exim.

 

"Actualice Exim inmediatamente instalando la versión 4.93 o más reciente para mitigar esta y otras vulnerabilidades", señala la NSA. "Existen otras vulnerabilidades y es probable que sean explotadas, por lo que se debe utilizar la última versión completamente parcheada".

 

Sandworm comienza su ataque explotando la vulnerabilidad CVE-2019-10149, que permite a un atacante remoto no autenticado enviar un correo electrónico especialmente diseñado que luego permite al atacante realizar comandos con privilegios de raíz en el servidor de correo electrónico vulnerable, según la alerta de la NSA.

 

Los atacantes se aprovechan de ello enviando un comando en el campo "mail from" del protocolo simple de transferencia de correo -una característica del protocolo de transferencia de correo electrónico- a los usuarios de Exim 4.87 que utilizan agentes de transferencia de correo con conexión a Internet, según la alerta.

 

Tras explotar con éxito la vulnerabilidad, los atacantes descargan y ejecutan un script de shell desde un dominio controlado por Sandworm, que puede entonces realizar las siguientes actividades:

 

-Desactivar la configuración de seguridad de la red.
-Actualizar las configuraciones de shell seguras para permitir un acceso remoto adicional.
-Ejecutar un script adicional para permitir la explotación posterior.

 

Además de parchear el software no seguro de Exim, la NSA recomienda a los administradores del sistema que supervisen de forma rutinaria la modificación no autorizada del sistema.

 

También, sugiere que se limiten los privilegios de acceso de los usuarios mientras se instalan programas informáticos de cara al público, como los agentes de transferencia de correo, y que se utilice la segmentación de la red para separar las funciones y los requisitos.

 

Fuente: ciberseguridadlatam

 
 
seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800