Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La NSA alerte sur une vague de cyberattaques contre les serveurs Exim par le groupe russe Sandworm – commentaire de Tenable

mai 2020 par Satnam Narang, Staff research engineer chez Tenable

Ce jeudi 28 mai 2020, la NSA a publié une alerte de sécurité
annonçant une vague de cyberattaques contre les serveurs de messagerie,
menée par l’un des groupes de cyber-espionnage avancés Russes.

Également connu sous le nom de « Sandworm », ce groupe pirate les
serveurs Exim depuis août 2019 en exploitant une vulnérabilité
critique identifiée comme CVE-2019-10149. Le groupe Sandworm est actif
depuis le milieu des années 2000 et serait le groupe de hackers ayant
développé le malware BlackEnergy qui a provoqué une panne de courant
en Ukraine en décembre 2015 et décembre 2016. Il s’agirait
également du groupe ayant développé le tristement célèbre
ransomware NotPetya qui a causé des milliards de dollars américains de
dommages à des entreprises du monde entier.

Satnam Narang, Staff research engineer chez Tenable explique :

« La NSA a récemment publié [1] un avis de cybersécurité
avertissant que les acteurs de l’État-nation russe exploitaient
CVE-2019-10149, une vulnérabilité critique permettant l’exécution
de commandes à distance dans l’agent de transfert de messagerie (MTA)
Unix connu sous le nom d’Exim, depuis août 2019. Bien que des
correctifs aient été mis à disposition en juin 2019, soit il y a
près d’un an, les chercheurs en sécurité ont observé des tentatives
actives d’exploitation à l’état brut, à peine quatre jours après
la correction initiale de la faille. À l’époque, 4,1 millions de
systèmes en ligne exécutaient une version vulnérable d’Exim, en se
basant sur les résultats de recherches dans Shodan. Aujourd’hui, près
d’un demi-million de serveurs sont toujours vulnérables à
CVE-2019-10149.

Qu’il s’agisse d’un État-nation ou de personnes malveillantes
motivées par des gains financiers, il s’agit d’un autre rappel de
la tendance des cybercriminels à viser des cibles faciles. Les
vulnérabilités zero-day attirent beaucoup l’attention, mais en
pratique, ce sont les vulnérabilités non corrigées connues du public
qui offrent aux cybercriminels le meilleur rendement. En effet,
nombreuses sont les organisations qui ont du mal à suivre le rythme des
nouvelles vulnérabilités découvertes, donnant ainsi aux
cybercriminels l’opportunité de s’infiltrer dans les systèmes en
exploitant de telles failles.

Cet avertissement de la NSA fait suite à un récent avis du CISA,
l’agence américaine de cybersécurité et de sécurité des
infrastructures qui a révélé les 10 principales vulnérabilités
régulièrement exploitées [2]. Une nouvelle fois, la liste indique que
la plupart des cybercriminels choisissent de ne pas déployer leurs
efforts pour une vulnérabilité zero-day, ciblant plutôt des
vulnérabilités non corrigées, publiquement connues et présentes dans
une variété de logiciels comme Exim. »


Voir les articles précédents

    

Voir les articles suivants