NSA beschuldigt Rusland van aanvallen op kwetsbare Exim-mailservers

doorSecuratis

NSA beschuldigt Rusland van aanvallen op kwetsbare Exim-mailservers

De Amerikaanse geheime dienst NSA beschuldigt Rusland vandaag van het uitvoeren van aanvallen op kwetsbare Exim-mailservers. De Russische inlichtingendienst GRU zou sinds augustus vorig jaar misbruik maken van een bekende kwetsbaarheid in de populaire mailserversoftware waarvoor op 5 juni een beveiligingsupdate verscheen.

Via de kwetsbaarheid kan een aanvaller alleen door het versturen van een speciaal geprepareerde e-mail commando’s met rootrechten op de mailserver uitvoeren. Een aanvaller kan zo software installeren, data aanpassen en nieuwe accounts aanmaken, aldus de “cybersecurity advisory” van de NSA (pdf).

In het geval van de aanvallen die de NSA aan de GRU-eenheid toeschrijft worden er geprivilegieerde gebruikers toegevoegd, netwerkbeveiligingsinstellingen uitgeschakeld, ssh-configuraties aangepast zodat aanvullende remote toegang mogelijk is en aanvullende scripts uitgevoerd. “De droomtoegang van elke aanvaller, zolang het netwerk een ongepatchte versie van Exim gebruikt”, zo laat de Amerikaanse geheime dienst weten.

De NSA adviseert organisaties om de Exim-beveiligingsupdate direct te installeren. Tevens wordt aangeraden om logbestanden op eventuele aanvalssporen te controleren en naar de aanwezigheid van extra accounts en ssh-keys te kijken. Dergelijke aanpassingen zijn te ontdekken via software die de integriteit van bestanden monitort.

https://www.security.nl/posting/658909/NSA+beschuldigt+Rusland+van+aanvallen+op+kwetsbare+Exim-mailservers?channel=rss

Over de auteur

Securatis administrator