L’agence de renseignement américaine NSA – National Security Agency, a publié une alerte de cybersécurité ce jeudi 28 mai 2020 : des cyberattaquants de l’armée Russe, connus comme Sandworm Team, exploitent activement une faille de sécurité du logiciel Exim mail transfer agent (MTA).
Cet agent de transfert de messages est populaire dans le monde linux, et est souvent distribué par défaut dans certaines distributions linux.
La vulnérabilité, référence CVE-2019-10149, permet à un attaquant d’exécuter à distance n’importe quel code arbitraire.
Les membres de la direction général du renseignent russe (GRU), exploitent cette faille de sécurité pour ajouter des utilisateurs à haut privilège, désactiver les paramètres de sécurité d’un réseau, et lancer des scripts qui leur permettront d’explorer plus tard le réseau.
La NSA recommande l’installation du dernier correcticiel, ce qui aurait déjà dû être effectué en août 2019. Près de 2,5 millions de serveurs, soit près d’un serveur Exim sur deux, n’ont pas été mis à jour
De son côté, l’ANSSI publie en ce moment des avis de sécurité comme s’il en pleuvait : multiples vulnérabilités dans le noyau Linux de RedHat, dans les produits Apple, dans OpenSSH, dans GitLab, Google Chrome OS, Hirschhmann OWL, noyau Linux Ubuntu et produits VMWare.