Des pirates russes sont-ils à la manoeuvre pour exploiter une vulnérabilité donnant accès au contrôle de serveurs de messagerie américains ? C'est en tout cas ce qu'affirme l'agence de sûreté américaine (NSA) dans un document publié ce 28 mai 2020. « Les cyber-acteurs russes du Centre principal GRU pour les technologies spéciales (GTsST), poste 74455, ont exploité une vulnérabilité dans le logiciel Exim Mail Transfer Agent (MTA) depuis au moins août 2019. Les cyber-acteurs responsable de ce cyber-programme malveillant sont connus publiquement sous le nom d'équipe Sandworm », indique d'emblée la NSA. L'équipe Sandworm n'en serait pas à son coup d'essai. En 2015 et 2016, ces pirates se sont fait remarquer pour avoir piraté les centrales électriques en Ukraine, propagé le ver NotPetya qui a fait plusieurs milliards de dollars de dégâts ou encore plus récemment saboté début 2018 le système d'information des Jeux Olympiques d'hiver de Pyeongchang.

Exim est un logiciel utilisé dans des serveurs de messagerie MTA sous Unix ainsi que plusieurs distributions Linux comme Debian. « Le 5 juin 2019, une mise à jour pour une vulnérabilité critique (CVE-2019-10149) dans Exim a été publiée. La vulnérabilité d'exécution de code à distance a été introduite dans Exim version 4.87. Un attaquant distant non authentifié peut envoyer un e-mail spécialement conçu pour exécuter des commandes avec des privilèges root permettant à l'attaquant d'installer des programmes, de modifier des données, et créer de nouveaux comptes », a expliqué l'agence américaine.

Mettre à jour Exim dans la version 4.92 ou supérieure

L'exploitation de la faille CVE-2019-10149 a permis d'exécuter à distance sur une machine cible du script shell malveillant à partir d'un domaine contrôlé par la Team Sandworm. Ce faisant, il permet ensuite d'exécuter plusieurs actions comme ajouter des privilèges utilisateurs, désactiver les paramètres de sécurité réseau, mettre à jour les configurations SSH pour activer de l'accès distant supplémentaire et exécuter du script aditionnel pour enclencher un exploit supplémentaire.

Depuis le mois d'août 2019, la NSA a pu identifier plusieurs adresses IP et domaines associées à ces attaques, à savoir 95.216.13.196, 103.94.157.5 et hostapp.be. Les responsables des serveurs Exim doivent donc impérativement vérifier qu’elles exécutent la version 4.92 ou supérieure de ce logiciel pour éviter toute compromission. Et également consulter les logs systèmes pour identifier d'éventuelles connexions aux adresses et domaine 95.216.13.196, 103.94.157.5 et hostapp.be tous connectés à la campagne Sandworm en cours.