Von Animesh Jain, Product Manager, Vulnerability Signatures bei Qualys
Die Schwachstelle der Exim-MTA, über die Qualys erstmals im Mai 2019 berichtete, wird derzeit tatsächlich ausgenutzt. Kürzlich gab die Nationale Sicherheitsbehörde der USA (NSA) bekannt, dass Sandworm-Akteure einer russischen Hackergruppe die Schwachstelle des Exim Mail Transfer Agenten aktiv ausgenutzt haben.
Qualys hat im vergangenen Jahr einen Blog-Beitrag veröffentlicht, in dem beschrieben wird, wie Sie die von dieser Schwachstelle betroffenen Vermögenswerte in Ihrer Umgebung identifizieren können: Exim-MTA-Schwachstelle (Die Rückkehr des WIZard – CVE-2019-10149)
Sandworm-Angriffe
Die Exim-MTA-Schwachstelle könnte ausgenutzt werden, indem eine böswillige E-Mail an den Server gesendet wird, die es einem Angreifer ermöglicht, Code per Fernzugriff auf dem Server auszuführen. Diese Schwachstelle kann zu Remote Command Injection führen und wird derzeit aktiv angegriffen.
Die NSA erwähnte, dass Sandworm-Akteure diese Schwachstelle seit mindestens August 2019 ausnutzen. Die Akteure täuschen die Opfer, indem sie Exim-Software auf ihren öffentlich zugänglichen MTAs einsetzten. Dies war durch einen Befehl in das „MAIL FROM“-Feld einer SMTP-Nachricht (Simple Mail Transfer Protocol) möglich. Der Sandworm führte ein Shell-Skript aus, um die folgende Aktion auf dem System des Opfers auszuführen:
- Privilegierte Benutzer hinzufügen
- Deaktivieren der Netzwerksicherheitseinstellungen
- SSH-Konfigurationen aktualisieren, um Fernzugriff zu ermöglichen
- Ausführen eines zusätzlichen Skripts zur Ermöglichung einer nachfolgenden Nutzung
Die nicht gepatchten Systeme sind stark gefährdet, und es sollten unverzüglich Maßnahmen ergriffen werden, um diese Schwachstelle zu beheben.
Aufspüren von CVE-2019-10149
Die beste Methode zur Identifizierung anfälliger Hosts ist über den Qualys Cloud Agenten oder über authentifiziertes Scannen. Qualys hat mehrere QIDs für verschiedene Linux-Distributionen sowie eine generische Remote Potential QID (50092) veröffentlicht, welche Exim-Hosts identifizieren wird. Sie können nach diesen QIDs im VM Dashboard suchen, indem Sie die folgende QQL-Abfrage verwenden:
vulnerabilities.vulnerability.cveIds:`CVE-2019-10149`
Darüber hinaus können Qualys VMDR-Kunden diese Schwachstelle effektiv priorisieren, da Qualys QID 50092 folgende RTIs (Real-Time Threat Indicators) enthält:
- Aktive Angriffe
- Öffentliche Ausbeutung
- Vorhergesagtes hohes Risiko
- Wurmanfälligkeit
VMDR-Kunden können diese Bedrohungen auch proaktiv über den „Live-Feed“ verfolgen, der eine Priorisierung der Bedrohungen ermöglicht. Mit dem „Live-Feed“, der für alle aufkommenden hohen und mittleren Risiken aktualisiert wird, können Sie die betroffenen Hosts gegen Bedrohungen klar erkennen.
Abhilfe
Kunden wird empfohlen, Exim sofort durch Installation von Version 4.92 oder neuer zu aktualisieren, um diese Schwachstelle zu beheben. Systemadministratoren können die entsprechenden Linux-Distributionen mit dem Paketmanager oder durch Herunterladen der neuesten Version von https://www.exim.org/mirrors.html aktualisieren.