Une vulnérabilité Exim exploitée dans une campagne malveillante

Une faille d’exécution de commandes arbitraires sur les serveurs de messagerie basés sur Exim a été découverte le 5 juin dernier (voir notre bulletin pour plus de détails). 

Pour rappel, un attaquant local ou distant non authentifié avec de faibles privilèges pourrait l’exploiter et exécuter des commandes arbitraires avec les privilèges d'un administrateur. L'impact de l’attaque dépend de la configuration du serveur. Cette attaque serait simple à mettre en œuvre et l'impact estimé sur la confidentialité et l'intégrité des données serait important.

D'après les dernières informations disponibles, des attaquants exploitent cette vulnérabilité pour installer des mineurs de cryptomonnaies utilisant les ressources de la machine compromise ou pour détecter d'autres systèmes Linux vulnérables. Aujourd'hui, Exim est implémenté sur près de 57 % des serveurs de messagerie de l'Internet.

Une première vague d'attaques contre cette vulnérabilité impliquait des attaquants à partir d’un serveur de commande et de contrôle. Une deuxième série d’attaques par d’autres attaquants est actuellement en train d’être analysée notamment par des chercheurs de Cybereason.

Détails techniques :

CVE-2019-10149 [CVSS : 9,8] : Une vaste campagne d’attaques qui possède désormais le statut de ver (worm) de par sa propagation sur l'Internet. Les attaquants scannent le Web à la recherche de serveurs de messagerie vulnérables.

Le mode opératoire constaté est que le script initialement déployé grâce à la vulnérabilité télécharge un second script conçu pour vérifier si OpenSSH est installé sur la machine compromise. Si OpenSSH n'est pas présent, il l'installera et le démarrera pour obtenir des connexions root via SSH en utilisant une clé RSA privée/publique pour l'authentification.

Microsoft a maintenant détecté une campagne de cryptojacking (également appelé minage de cryptomonnaie malveillant), une menace en ligne qui se cache sur un ordinateur ou un appareil mobile et utilise les ressources de la machine pour « miner » des cryptomonnaies.

Microsoft a souligné qu'Azure a déjà mis en place des contrôles pour limiter la propagation de ce ver Linux, mais recommande à ses clients d'utiliser des logiciels à jour pour prévenir l'infection. En effet "les clients qui utilisent les machines virtuelles Azure (VM) sont responsables de la mise à jour des systèmes d'exploitation fonctionnant sur leurs machines virtuelles ", poursuit l'avis.

Les clients qui utilisent des machines virtuelles avec Exim 4.92 ne sont pas affectés par cette vulnérabilité.