Het National Security Agency (NSA) heeft aangekondigd dat hackers van de Russische militaire inlichtingendienst GRU, in ieder geval sinds augustus 2019, gebruik hebben gemaakt van een kwetsbaarheid in de veelgebruikte e-mailsoftware Exim Message Transfer Agent (MTA). Het raadt beheerders sterk aan om het systeem te patchen. De aanvalsgolf zou afkomstig zijn van het Russische GRU-team Sandworm, dat door de regering wordt gesteund.

Het Sandwormteam, gebruikt de kwetsbaarheid om een shellscript te downloaden en uit te voeren van een website die zij controleren. Dit stelt de hackers in staat om zichzelf geprivilegieerde gebruikersrechten toe te kennen, de netwerkbeveiligingsinstellingen uit te schakelen, SSH-configuraties te updaten en zo meer toegang op afstand te bieden.

Patching ten zeerste aanbevolen

Alle versies van Exim 4.87 en later zouden kwetsbaar zijn. De hackersgroep valt aan via de CVE-2019-10149 kritische kwetsbaarheid.  Alleen een snelle update van de beveiligde Exim-versie 4.92 zal helpen de kwetsbaarheid te verhelpen, verouderde versies zullen kwetsbaar blijven voor aanvallen.

Het komt zelden voor dat een waarschuwing van de NSA over een aanvalspoging specifiek wordt toegeschreven aan een specifiek overheidsactor. Het “Sandworm ” team is al minstens een decennium actief in de cyberwereld en staat ook bekend als de BlackEnergy Group, Telebots of VoodooBear. Het is in verband gebracht met grootschalige cyberaanvallen op regeringen en organisaties in de energie- of telecommunicatiesector, maar ook op de NAVO en de Europese Unie. In februari van dit jaar werd de groep door het Amerikaanse ministerie van Buitenlandse Zaken en het Verenigd Koninkrijk en Georgië ervan beschuldigd verantwoordelijk te zijn voor de massale cyberaanvallen op overheids- en particuliere websites in Georgië.

Kwetsbaarheid wordt nog steeds uitgebuit

De NSA verwacht dat ook andere cybercriminelen deze kwetsbaarheid zullen uitbuiten. De directie Cyber Security van de NSA heeft na een reorganisatie in oktober 2019 een nieuwe richting gekregen en heeft de opdracht gekregen om niet-gerubriceerde dreigingssituaties openbaar te maken, zodat particuliere organisaties stappen kunnen ondernemen om zich tegen cyberaanvallen te beschermen. Ze heeft woensdag een nieuw Twitter-account, @NSACyber, opgezet, dat ook gebruikt zal worden om nieuwe ontwikkelingen met betrekking tot de Exim-kwetsbaarheid aan te kondigen.