Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La NSA alerte sur une vague de cyberattaques contre les serveurs Exim par le groupe russe Sandworm – commentaire de Tenable

mai 2020 par Satnam Narang, Staff research engineer chez Tenable

Ce jeudi 28 mai 2020, la NSA a publié une alerte de sécurité annonçant une vague de cyberattaques contre les serveurs de messagerie, menée par l’un des groupes de cyber-espionnage avancés Russes.

Également connu sous le nom de « Sandworm », ce groupe pirate les serveurs Exim depuis août 2019 en exploitant une vulnérabilité critique identifiée comme CVE-2019-10149. Le groupe Sandworm est actif depuis le milieu des années 2000 et serait le groupe de hackers ayant développé le malware BlackEnergy qui a provoqué une panne de courant en Ukraine en décembre 2015 et décembre 2016. Il s’agirait également du groupe ayant développé le tristement célèbre ransomware NotPetya qui a causé des milliards de dollars américains de dommages à des entreprises du monde entier.

Satnam Narang, Staff research engineer chez Tenable explique :

« La NSA a récemment publié [1] un avis de cybersécurité avertissant que les acteurs de l’État-nation russe exploitaient CVE-2019-10149, une vulnérabilité critique permettant l’exécution de commandes à distance dans l’agent de transfert de messagerie (MTA) Unix connu sous le nom d’Exim, depuis août 2019. Bien que des correctifs aient été mis à disposition en juin 2019, soit il y a près d’un an, les chercheurs en sécurité ont observé des tentatives actives d’exploitation à l’état brut, à peine quatre jours après la correction initiale de la faille. À l’époque, 4,1 millions de systèmes en ligne exécutaient une version vulnérable d’Exim, en se basant sur les résultats de recherches dans Shodan. Aujourd’hui, près d’un demi-million de serveurs sont toujours vulnérables à CVE-2019-10149.

Qu’il s’agisse d’un État-nation ou de personnes malveillantes motivées par des gains financiers, il s’agit d’un autre rappel de la tendance des cybercriminels à viser des cibles faciles. Les vulnérabilités zero-day attirent beaucoup l’attention, mais en pratique, ce sont les vulnérabilités non corrigées connues du public qui offrent aux cybercriminels le meilleur rendement. En effet, nombreuses sont les organisations qui ont du mal à suivre le rythme des nouvelles vulnérabilités découvertes, donnant ainsi aux cybercriminels l’opportunité de s’infiltrer dans les systèmes en exploitant de telles failles.

Cet avertissement de la NSA fait suite à un récent avis du CISA, l’agence américaine de cybersécurité et de sécurité des infrastructures qui a révélé les 10 principales vulnérabilités régulièrement exploitées [2]. Une nouvelle fois, la liste indique que la plupart des cybercriminels choisissent de ne pas déployer leurs efforts pour une vulnérabilité zero-day, ciblant plutôt des vulnérabilités non corrigées, publiquement connues et présentes dans une variété de logiciels comme Exim. »




Voir les articles précédents

    

Voir les articles suivants