Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Useita Exim-sähköpostiohjelmistoa käyttäviä palvelimia murrettu Suomessa

Tietoturva Nyt!

Hyvin laajalti käytössä olevassa Exim-sähköpostiohjelmistossa (Mail Transfer Agent) raportoitiin 3.6.2019 vakava RCE-haavoittuvuus (CVE-2019-10149) Qualys-tietoturvayhtiön toimesta. Haavoittuvuutta on nyt havaittu aktiivisesti hyväksikäytettävän erityisesti hosting-ympäristöjen hallinnassa käytettävän cPanel-ohjelmiston yhteydessä. Sekä cPaneliin että Eximiin on julkaistu korjaavat ohjelmistopäivitykset.

Kyberturvallisuuskeskus on saanut useita ilmoituksia tietomurroista, joissa tietojärjestelmiin on tunkeuduttu Exim-sähköpostipalvelimen haavoittuvuuden avulla. Haavoittuvuus koskee palvelinympäristöjä, jotka käyttävät Exim-ohjelmiston versioita 4.92 vanhempaa julkaisua. cPanel on vain yksi monista laajalti käytössä olevista ohjelmistoista, joissa Exim-pohjainen sähköpostipalvelu tulee asennuksen mukana. cPanelin osalta haavoittuvuus koskee kaikkia ohjelmiston 70.0.69, 76.0.22 ja 78.0.27 aiempia versioita.

Etäkäytön mahdollistava haavoittuvuus (RCE) on hyväksikäytettävissä alkuperäisen tiedon mukaan Eximin versiosta 4.87 alkaen, mutta täyttä varmuutta tästä ei ole. Eximin oletuskonfiguraatiossa haavoittuvuuden hyväksikäytön pitäisi olla mahdollista vain paikallisesti, joten hyökkääjä tarvitsee tunnuksen kohdejärjestelmään tai keinon viestin lähettämiseksi ympäristön sisältä käsin muulla tavoin – esimerkiksi verkkosivulla olevan lomakkeen kautta.

cPanel on julkaissut korjaavan ohjemistopäivityksen haavoittuvuuteen 6.6.2019, eli heti seuraavana päivänä siitä, kun Exim-ohjelmiston omat päivitykset olivat useimmille alustoille saatavilla 5.6.2019.

Tarkista oletko joutunut tietomurron kohteeksi

Paikallisesti hyökkääjä on voinut suorittaa pääkäyttäjän oikeuksin (root) ohjelman palvelimella lähettämällä tietyllä tavalla muotoiltuun sähköpostiosoitteeseen postia, joka sisältää suoritettavan komennon. Havaituissa hyökkäyksissä komento hakee hyökkääjän palvelimelta skriptin ja aiheuttaa sen suorittamisen kohteessa root-oikeuksin ja pyrkii asentamaan SSH-takaoven hyökkääjän jatkotoimenpiteitä varten. Lisäksi hyökkääjä muokkaa palvelimen crontab-ajastuspalvelun asetuksia haittaohjelman suorittamiseksi automaattisesti.

Alkuperäisen tiedon mukaan hyväksikäyttö verkon yli (Remote code execution) olisi mahdollista vain hyvin hankalasti Eximin oletuskonfiguraatiolla pitämällä yhteyttä palvelimelle auki seitsemän päivän ajan ennen hyväksikäytön suorittamista. On kuitenkin hyvin todennäköistä, että joissakin palvelinympäristöissä Eximin oletusasetuksia on muutettu sellaisiksi että hyväksikäyttö verkon yli on mahdollista nopeammin. Tämä on mahdollista esimerkiksi silloin, jos oletuskonfiguraatiosta on poistettu ‘verify = recipient’ ACL-määritys tai jos Exim on määritelty käyttämään toissiajista sähköpostin välittäjää (secondary Mail eXchange).

Hyökkääjät asentavat palvelimelle takaoven ja kryptovaluutan louhijan

Tällä hetkellä tiedossamme ei ole muita motiiveja hyökkäykselle kuin SSH-takaoven asentaminen murretuille palvelimille sekä hyökkääjän ohjelmakoodin ajon turvaamisen ja piilottamisen hyökkäyksen kohteessa. Suorittavat skriptit pyrkivät myös poistamaan kryptovaluutan louhintaan liittyviä prosesseja ajosta ja asentamaan hyökkääjän oman louhijan palvelimille. Kannattaa kuitenkin huomata, että mikäli hyökkääjät ovat takaoven asentamisen jälkeen tulleet SSH-yhteydellä sisään palvelimelle, ovat he voineet suorittaa muitakin haitallisia toimenpiteitä, kuten esimerkiksi varastaa tietoja tai asentaa muita haittaohjelmia. Vastaavaa toimintaa on havaittu viime kuukausien aikana muidenkin palvelinohjelmistojen haavoittuvuuksien hyväksikäyttöjen yhteydessä.