La NSA alerte sur une vague de cyberattaques contre les serveurs Exim par le groupe russe Sandworm
Analyse de Satnam Narang, Staff Research Engineer chez Tenable

Le jeudi 28 mai 2020, la NSA a publié une alerte de sécurité annonçant une vague de cyberattaques contre les serveurs de messagerie, menée par l'un des groupes de cyber-espionnage avancés Russes.

Également connu sous le nom de « Sandworm », ce groupe pirate les serveurs Exim depuis août 2019 en exploitant une vulnérabilité critique identifiée comme CVE-2019-10149. Le groupe Sandworm est actif depuis le milieu des années 2000 et serait le groupe de hackers ayant développé le malware BlackEnergy qui a provoqué une panne de courant en Ukraine en décembre 2015 et décembre 2016. Il s’agirait également du groupe ayant développé le tristement célèbre ransomware NotPetya qui a causé des milliards de dollars américains de dommages à des entreprises du monde entier.

Nom : Tenable_new_Logo835x396.jpg
Affichages : 823
Taille : 34,3 Ko

« La NSA a récemment publié un avis de cybersécurité avertissant que les acteurs de l'État-nation russe exploitaient CVE-2019-10149, une vulnérabilité critique permettant l’exécution de commandes à distance dans l'agent de transfert de messagerie (MTA) Unix connu sous le nom d'Exim, depuis août 2019. Bien que des correctifs aient été mis à disposition en juin 2019, soit il y a près d'un an, les chercheurs en sécurité ont observé des tentatives actives d'exploitation à l’état brut, à peine quatre jours après la correction initiale de la faille. À l'époque, 4,1 millions de systèmes en ligne exécutaient une version vulnérable d'Exim, en se basant sur les résultats de recherches dans Shodan. Aujourd'hui, près d'un demi-million de serveurs sont toujours vulnérables à CVE-2019-10149.

Qu'il s'agisse d'un État-nation ou de personnes malveillantes motivées par des gains financiers, il s’agit d’un autre rappel de la tendance des cybercriminels à viser des cibles faciles. Les vulnérabilités zero-day attirent beaucoup l'attention, mais en pratique, ce sont les vulnérabilités non corrigées connues du public qui offrent aux cybercriminels le meilleur rendement. En effet, nombreuses sont les organisations qui ont du mal à suivre le rythme des nouvelles vulnérabilités découvertes, donnant ainsi aux cybercriminels l’opportunité de s’infiltrer dans les systèmes en exploitant de telles failles.

Cet avertissement de la NSA fait suite à un récent avis du CISA, l’agence américaine de cybersécurité et de sécurité des infrastructures qui a révélé les 10 principales vulnérabilités régulièrement exploitées. Une nouvelle fois, la liste indique que la plupart des cybercriminels choisissent de ne pas déployer leurs efforts pour une vulnérabilité zero-day, ciblant plutôt des vulnérabilités non corrigées, publiquement connues et présentes dans une variété de logiciels comme Exim. »


Lisez l'avis de cybersécurité de la NSA ici
Les 10 principales vulnérabilités régulièrement exploitées de la CISA

A propos de Tenable

Tenable®, Inc. est la société de Cyber Exposure. Plus de 30 000 entreprises dans le monde font confiance à Tenable pour comprendre et réduire les cyber-risques. En tant que créateur de Nessus®, Tenable a étendu son expertise sur les vulnérabilités pour proposer la première plateforme au monde à voir et sécuriser n’importe quel asset numérique, sur toute plateforme informatique. Parmi les clients Tenable, on compte plus de la moitié des entreprises du Fortune 500, plus d’un quart des entreprises du Global 2000 et de grandes administrations gouvernementales. Pour en savoir plus, rendez-vous sur fr.tenable.com

Source : Tenable