Exim-sähköpostipalvelimen haavoittuvuuden avulla tehdään tietomurtoja
Varoitus1/2019
Exim-sähköpostipalvelimessa on haavoittuvuus, joka mahdollistaa komentojen suorittamisen haavoittuvassa järjestelmässä. Kyberturvallisuuskeskus on saanut Suomesta useita ilmoituksia tietomurroista, joissa tietojärjestelmiin on tunkeuduttu Exim-sähköpostipalvelimen haavoittuvuuden kautta. Haavoittuvuutta hyödynnetään aktiivisesti myös muualla maailmassa. Kyberturvallisuuskeskuksen tiedossa olevissa tapauksissa hyökkääjä on murtautunut cPanel-palvelimelle hyödyntäen cPanel-ohjelmiston yhteyteen paketoidun Exim-sähköpostipalvelimen haavoittuvuutta.
Tietomurtojen yhteydessä hyökkääjä on asentanut palvelimelle takaoven myöhempää pääsyä varten.
Hyökkääjä myös käynnistää virtuaalivaluuttaa louhivan haittaohjelman kohdejärjestelmässä.
Julkaisemme myöhemmin tänään 10.6.2019 lisää teknisiä yksityiskohtia Tietoturva nyt! -artikkelissa, johon osoittavan linkin lisäämme tähän varoitukseen.
Varoituksen kohderyhmä
Exim-palvelinten ylläpitäjät.
cPanel-palvelinten ylläpitäjät.
Ratkaisu- ja rajoitusmahdollisuudet
Päivitä haavoittuva Exim-palvelin välittömästi.
Päivitä haavoittuva cPanel-palvelin välittömästi.
Tarkista ettei palvelimelle ole asennettu takaovia tai ylimääräisiä SSH-avaimia.
Lisätietoa
- Exim-sähköpostipalvelimen haavoittuvuutta käytetään aktiivisesti hyväksi (Haavoittuvuus 12/2019 10.6.2019) (in Finnish)
- Useita Exim-sähköpostiohjelmistoa käyttäviä palvelimia murrettu Suomessa (Ulkoinen linkki) (Tietoturva Nyt! 10.6.2019)
- CVE-2019-10149: Critical Remote Command Execution Vulnerability Discovered In Exim (Ulkoinen linkki) (6.6.2019)
- Exim CVE-2019-10149, how to protect yourself (Ulkoinen linkki) (6.6.2019)