Sandworm: Hacker nutzen alte Exim-Sicherheitslücke aus
Der US-Geheimdienst NSA warnt: Die mutmaßlich staatliche russische Hackergruppe soll eine bekannte Sicherheitslücke in E-Mail-Servern aktiv ausnutzen.

Staatliche Hacker müssen nicht immer streng geheime, bisher unbekannte Sicherheitslücken ausnutzen, um ihre Ziele anzugreifen. Auch bei lange bekannten und geschlossenen Schwachstellen finden sie offenbar noch genügend verwundbare Systeme. So warnte der US-Geheimdienst NSA in der letzten Woche davor, dass die mutmaßlich staatliche russische Hackergruppe Sandworm eine seit Monaten bekannte Sicherheitslücke im Mail Transfer Agent Exim ausnutzen soll.
Es handele sich um die im Juni 2019 veröffentlichte Schwachstelle CVE-2019-10149, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auszuführen. Das Problem lag darin, wie die E-Mail-Adressen der Empfänger einer E-Mail verarbeitet wurden - in den Lokalpart der Adresse ließen sich Kommandos einschleusen. Laut NSA hätten die Angreifer verwundbare Systeme dazu gebracht, ein Skript von einer durch Sandworm kontrollierten Seite herunterzuladen und sich so zusätzliche Nutzer angelegt, Netzwerk-Sicherheitseinstellungen deaktiviert und zusätzliche Skripte ausgeführt: "So ziemlich der Traumzugriff jedes Angreifers", schreibt die US-Behörde.
Obwohl Patches für die Sicherheitslücke schon lange zur Verfügung stehen und Exim ab Version 4.93 nicht mehr betroffen ist, laufen viele E-Mail-Server noch mit der Schwachstelle. Welche Ziele in diesem Fall angegriffen worden sein sollen und mit welcher Motivation, gibt die NSA nicht bekannt.
Der Hackergruppe Sandworm wird dem russischen Militärgeheimdienst GRU zugeordnet. Von ihr sollen mehrere Angriffe auf hochrangige Ziele ausgegangen sein, etwa auf Netzwerke der Nato und Energieversorger. Auch das deutsche Bundesamt für Verfassungsschutz warnte vor der Gruppe.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
wenn 4.92 laut https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10149 nicht mehr...