Exim-sähköpostipalvelimen haavoittuvuuden avulla tehdään tietomurtoja

Varoitus1/2019

Exim-sähköpostipalvelimessa on haavoittuvuus, joka mahdollistaa komentojen suorittamisen haavoittuvassa järjestelmässä. Kyberturvallisuuskeskus on saanut Suomesta useita ilmoituksia tietomurroista, joissa tietojärjestelmiin on tunkeuduttu Exim-sähköpostipalvelimen haavoittuvuuden kautta. Haavoittuvuutta hyödynnetään aktiivisesti myös muualla maailmassa. Kyberturvallisuuskeskuksen tiedossa olevissa tapauksissa hyökkääjä on murtautunut cPanel-palvelimelle hyödyntäen cPanel-ohjelmiston yhteyteen paketoidun Exim-sähköpostipalvelimen haavoittuvuutta. 

Tietomurtojen yhteydessä hyökkääjä on asentanut palvelimelle takaoven myöhempää pääsyä varten. 

Hyökkääjä myös käynnistää virtuaalivaluuttaa louhivan haittaohjelman kohdejärjestelmässä.

Julkaisemme myöhemmin tänään 10.6.2019 lisää teknisiä yksityiskohtia Tietoturva nyt! -artikkelissa, johon osoittavan linkin lisäämme tähän varoitukseen.

Varoituksen kohderyhmä

Exim-palvelinten ylläpitäjät.

cPanel-palvelinten ylläpitäjät.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva Exim-palvelin välittömästi. 

Päivitä haavoittuva cPanel-palvelin välittömästi.

Tarkista ettei palvelimelle ole asennettu takaovia tai ylimääräisiä SSH-avaimia. 

 

Lisätietoa