Home Ciberguerra Piratas informáticos rusos apuntan a los servidores de correo electrónico vulnerables

Piratas informáticos rusos apuntan a los servidores de correo electrónico vulnerables

Un grupo de ciberdelincuentes, respaldado por el gobierno ruso, ha estado explotando silenciosamente una vulnerabilidad crítica de ejecución de código remoto en los servidores de correo electrónico Exim desde 2019, advirtió la Agencia de Seguridad Nacional de los Estados Unidos.

De acuerdo a lo informado por la NSA, esta campaña de hacking es obra de un grupo llamado Sandworm -también conocido como Fancy Bear, BlackEnergy Actors, Cyber Berkut, CyberCaliphate y Pawnstorm- que ha sido vinculado a una serie anterior de sofisticadas campañas de ciberespionaje en los Estados Unidos y Europa.

Recientemente, Sandworm se ha dirigido a Exim, un agente de transferencia de correo de uso común que se encuentra en los sistemas operativos de Unix. Los criminales están explotando una vulnerabilidad de recepción de correo electrónico en la versión 4.87 de Exim, rastreada como CVE-2019-10149, que podría permitir la ejecución remota de código dentro del servidor web de la víctima, según la alerta de la NSA.

Si se explota con éxito, esta vulnerabilidad permite a los atacantes ejecutar comandos con privilegios de root que pueden permitirles instalar programas, modificar datos y crear nuevas cuentas, según la alerta.

Aunque Exim publicó un parche para esta falla en junio de 2019, la NSA señala que Sandworm sigue apuntando a los servidores de correo electrónico no parcheados y vulnerables de Exim.

“Actualice Exim inmediatamente instalando la versión 4.93 o más reciente para mitigar esta y otras vulnerabilidades”, señala la NSA. “Existen otras vulnerabilidades y es probable que sean explotadas, por lo que se debe utilizar la última versión completamente parcheada”.

Sandworm comienza su ataque explotando la vulnerabilidad CVE-2019-10149, que permite a un atacante remoto no autenticado enviar un correo electrónico especialmente diseñado que luego permite al atacante realizar comandos con privilegios de raíz en el servidor de correo electrónico vulnerable, según la alerta de la NSA.

Los atacantes se aprovechan de ello enviando un comando en el campo “mail from” del protocolo simple de transferencia de correo -una característica del protocolo de transferencia de correo electrónico- a los usuarios de Exim 4.87 que utilizan agentes de transferencia de correo con conexión a Internet, según la alerta.

Tras explotar con éxito la vulnerabilidad, los atacantes descargan y ejecutan un script de shell desde un dominio controlado por Sandworm, que puede entonces realizar las siguientes actividades:

-Desactivar la configuración de seguridad de la red.
-Actualizar las configuraciones de shell seguras para permitir un acceso remoto adicional.
-Ejecutar un script adicional para permitir la explotación posterior.

Además de parchear el software no seguro de Exim, la NSA recomienda a los administradores del sistema que supervisen de forma rutinaria la modificación no autorizada del sistema.

También, sugiere que se limiten los privilegios de acceso de los usuarios mientras se instalan programas informáticos de cara al público, como los agentes de transferencia de correo, y que se utilice la segmentación de la red para separar las funciones y los requisitos.

Con información de: Seguridad y Firewall.