美国国安局(National Security Agency,NSA)于本周警告,俄罗斯黑客集团Sandworm正在开采Exim上既有的安全漏洞CVE-2019-10149,呼吁各大组织应尽快修补该漏洞。
安全企业Qualys在去年6月披露了CVE-2019-10149的细节,该漏洞同时允许本地端或远程黑客进行攻击,只是难易度不同,成功开采将允许黑客执行任意程序。该漏洞可能让未经授权的黑客,自远程发送特定的电子邮件,就能以根权限执行命令,诸如安装程序、变更资料,或者是创建新账号。
Exim为一开源的邮件传输代理程序(Mail Tansfer Agent,MTA),除了被广泛应用在Unix系统上之外,也是许多Linux版本的预装程序,市场占有率高达57%。CVE-2019-10149漏洞波及2016年4月发布的Exim 4.87及之后的版本,Exim已于2019年2月发布的Exim 4.92修补了该漏洞。
不过,显然还有许多组织尚未修补该漏洞,NSA表示,从去年8月起,Sandworm便持续地攻击CVE-2019-10149漏洞,迄今仍不间断,呼吁采用Exim的组织应尽快修补。
NSA相信Sandworm团队隶属于俄罗斯情报局(GRU),Sandworm在2015年及2016年间曾针对乌克兰的电厂展开攻击,也曾在全球大规模传播NotPetya勒索软件,并于2018年袭击冬奥网站。