image

NSA beschuldigt Rusland van aanvallen op kwetsbare Exim-mailservers

donderdag 28 mei 2020, 17:55 door Redactie, 13 reacties

De Amerikaanse geheime dienst NSA beschuldigt Rusland vandaag van het uitvoeren van aanvallen op kwetsbare Exim-mailservers. De Russische inlichtingendienst GRU zou sinds augustus vorig jaar misbruik maken van een bekende kwetsbaarheid in de populaire mailserversoftware waarvoor op 5 juni een beveiligingsupdate verscheen.

Via de kwetsbaarheid kan een aanvaller alleen door het versturen van een speciaal geprepareerde e-mail commando's met rootrechten op de mailserver uitvoeren. Een aanvaller kan zo software installeren, data aanpassen en nieuwe accounts aanmaken, aldus de "cybersecurity advisory" van de NSA (pdf).

In het geval van de aanvallen die de NSA aan de GRU-eenheid toeschrijft worden er geprivilegieerde gebruikers toegevoegd, netwerkbeveiligingsinstellingen uitgeschakeld, ssh-configuraties aangepast zodat aanvullende remote toegang mogelijk is en aanvullende scripts uitgevoerd. "De droomtoegang van elke aanvaller, zolang het netwerk een ongepatchte versie van Exim gebruikt", zo laat de Amerikaanse geheime dienst weten.

De NSA adviseert organisaties om de Exim-beveiligingsupdate direct te installeren. Tevens wordt aangeraden om logbestanden op eventuele aanvalssporen te controleren en naar de aanwezigheid van extra accounts en ssh-keys te kijken. Dergelijke aanpassingen zijn te ontdekken via software die de integriteit van bestanden monitort.

Reacties (13)
28-05-2020, 20:28 door [Account Verwijderd]
De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.
28-05-2020, 20:28 door Anoniem
Breaking news: pot verwijt ketel!
28-05-2020, 20:41 door Erik van Straten
Door donderslag: De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.
Als het kennelijke triggerwoord "Microsoft" ontbreekt, moet je misschien ook andere woorden lezen?
Door Redactie: De Russische inlichtingendienst GRU zou sinds augustus vorig jaar misbruik maken van een bekende kwetsbaarheid in de populaire mailserversoftware waarvoor op 5 juni een beveiligingsupdate verscheen.
Wellicht wanen veel niet-Microsoft-software-beheerders zich onkwetsbaar...
28-05-2020, 21:06 door [Account Verwijderd] - Bijgewerkt: 28-05-2020, 21:33
Door Erik van Straten:
Door donderslag: De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.
Als het kennelijke triggerwoord "Microsoft" ontbreekt, moet je misschien ook andere woorden lezen?
Door Redactie: De Russische inlichtingendienst GRU zou sinds augustus vorig jaar misbruik maken van een bekende kwetsbaarheid in de populaire mailserversoftware waarvoor op 5 juni een beveiligingsupdate verscheen.
Wellicht wanen veel niet-Microsoft-software-beheerders zich onkwetsbaar...
Exim gebruikers misschien wel ja, maar dat geldt niet voor vele anderen.

Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?
29-05-2020, 00:06 door Anoniem
Door donderslag:

[..]

Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?

Wat gaat er toch door mensen heen ?
Liever denken dat "distro's uitgebrachte patches voor GPL software achterhouden" dan realiseren dat ook Linux servers wel eens slecht beheerrd worden - en beheerders helemaal geen uitgebrachte distro updates installeren ?

Jeez - je mag kiezen als verklaring
1) distro's laten security patch voor internet-facing GPL'ed mailsoftware die ze packagen jaar lang liggen
2) er zijn Linux beheerders die geen distro patches op hun servers installeren (of Linux servers waar geen beheerder naar om kijkt )

Mensen die ook in de praktijk werken (en wel volgen wat distro's doen) weten dat 1 niet voorkomt en 2 wel.
Jammer.

Karma4 heeft gewoon wel (een beetje) gelijk soms - alleen het doosje (of OS) kiezen maakt je niet veilig.

Deze Exim bug heet CVE-2019-10149 .

Zie voor een paar distro's :

Debian https://security-tracker.debian.org/tracker/CVE-2019-10149
Redhat (5) https://access.redhat.com/security/cve/cve-2019-10149 (not vulnerable, leverde een andere exim versie . RH 6/7 epel - fixed exim versie 4.92 dus ook niet vulnerable)

Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html (alleen 18.04 , Bionic beaver affected. En dus Fixed . zie https://launchpad.net/ubuntu/+source/exim4/4.90.1-1ubuntu1.2/+publishinghistory

Allemaal fixes van begin juni 2019 . Had je ook zelf kunnen vinden.
Net zoals je had kunnen vinden dat de patch in juni 2019 gewoon door het exim team al uitgebracht was - hoef je niet zo wijsneuzerig te posten dat NSA een jaar later maar gauw had moeten patchen "in plaats van zeiken op de Russen".

Er zijn gewoon een hoop plaatsen waar software updates niet tijdig geinstalleerd worden. Ook Linux software heeft updates (soms) urgent nodig. En plaatsen waar niet tijdig ge-update wordt zijn niet alleen maar Microsoft shops - maar ook sommige Linux shops .
29-05-2020, 09:03 door Anoniem
Door donderslag: De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.

De lek was opgelost in versie 4.92 die op 10 februari verscheen. En waarom zou je de verdachte partij niet mogen aanwijzen? Die kan daar niet tegen?

Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?

Je leest niet goed, de exploits begonnen in augustus 2019, de versie die niet kwetsbaar was is van 10 februari 2020. Wanneer de exploitatie is begonnen is ook achteraf vast te stellen, dat zegt niets over hoe lang een partij het wist.

De fix was niet bekend gemaakt als security fix, daarom updaten Linux distributies hun software niet altijd.
29-05-2020, 09:26 door Erik van Straten - Bijgewerkt: 29-05-2020, 09:34
Door donderslag:
Door Erik van Straten: Wellicht wanen veel niet-Microsoft-software-beheerders zich onkwetsbaar...
Exim gebruikers misschien wel ja, maar dat geldt niet voor vele anderen.
Uh? Om maar enkele drama's te noemen ontstaan door niet updaten:

Heartbleed, Struts, Tomcat, Pulse Secure, Citrix ADC, SaltStack, ... We leren er kennelijk niets eens van (dit geldt voor veel te veel beheerders van alle soorten besturingssystemen en daarop draaiende software).

M.b.t. SaltStack:
29 april: update beschikbaar: https://docs.saltstack.com/en/latest/topics/releases/3000.2.html

1 mei: "Researchers expect the vulnerabilities to be exploited in the wild within days": https://www.zdnet.com/article/saltstack-salt-critical-bugs-allow-data-center-cloud-server-hijacking-as-root/

3 mei: "Aanvaller krijgt via Salt-lek toegang tot servers van LineageOS: https://www.security.nl/posting/655228/Aanvaller+krijgt+via+Salt-lek+toegang+tot+servers+van+LineageOS

7 mei: Cisco patcht servers maar die blijken al gehacked te zijn (vers nieuws): https://www.bleepingcomputer.com/news/security/cisco-hacked-by-exploiting-vulnerable-saltstack-servers/

Ik heb het al zo vaak gezegd: zorg dat je het meteen weet als je systemen kwetsbaar zijn. Patch onmiddellijk of zet systemen uit. Als je gehacked wordt heb je vaak meer schade dan door onbeschikbaarheid (want die heb je, na een hack, meestal ook; naast vaak andere en mogelijk aanvankelijk onbekende schade).

Door donderslag: Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?
Geen idee. Maar als je verantwoordelijk bent voor beheer van systemen, en die worden gehacked, dan kun je natuurlijk de schuld aan de maintainers van jouw distro geven, maar zij gaan jouw schade niet vergoeden. Blijft de vraag "wat had je er zelf aan kunnen en moeten doen om een hack te voorkomen" - zeker bij internet facing systemen.
29-05-2020, 11:04 door Anoniem
Je moet wel de Exim patch installeren, dan heeft de NSA weer alleen toegang tot de bestanden ipv iedereen.
29-05-2020, 11:11 door Anoniem
Door Anoniem:
Door donderslag: De code is GPL dus als ik de NSA was dan zou ik maar gauw de code aanpassen ipv zitten te zaniken op de Russen.

De lek was opgelost in versie 4.92 die op 10 februari verscheen. En waarom zou je de verdachte partij niet mogen aanwijzen? Die kan daar niet tegen?

Edit: Als deze fix al een jaar bekend is, hoe komt het dan dat de software niet geupdate is? Ik bedoel, houden distros dit achter?

Je leest niet goed, de exploits begonnen in augustus 2019, de versie die niet kwetsbaar was is van 10 februari 2020. Wanneer de exploitatie is begonnen is ook achteraf vast te stellen, dat zegt niets over hoe lang een partij het wist.

De fix was niet bekend gemaakt als security fix, daarom updaten Linux distributies hun software niet altijd.

Foutje van je : Exim 4.92 is van 10 februari 2019 .(niet feb 2020) . De advisory waarin de vulnerability van een aantal voorgaande versies bekend werd is van 3 juni 2019 .
Inderdaad heeft het Exim team niet doorgehad bij 4.92 dat ze een security issue daarin gefixed hadden dat (dus) een security issue was in eerdere releases.
Het lijkt erop dat de exploits pas begonnen na de advisory .

De distro's patchen vrijwel altijd de versie die in de release zit voor een security bug, en gaan niet de "de nieuwste upstream" als fix leveren.

Hoe dan ook - een bekende bug vanaf juni 2019, distro updates vanaf juni 2019, dan ligt het toch echt alleen maar aan beheer wanneer je daarna nog steeds vulnerable bent .
29-05-2020, 12:37 door Anoniem
L.S.

En als de beheerders erop betrapt worden, willen ze die info ook nog graag verwijderd zien, want de directe chef zou eens in de gaten krijgen hoe incompetent ze zijn. Aan de andere kant komt het natuurlijk ook voor dat zij geen schuld dragen, maar de manager zonder technische kennis van zaken en met groot geloof in dozenschuivers bepaalt wat er met de distro moet gebeuren.

Als die laatsten over de uitrol van patches en het patch-beleid gaan, nou dan kun je nog wel het een en ander gaan opzoeken op shodan.io, vulners en via een rogue gescript XSS-DOM scannertje.

Het houdt sommigen tijdens de lock-down wel van de straat. ;) In feite te zielig voor woorden, maar je kan altijd nog de Ruzzians en Tee AAhr You EM Pee de schuld in de schoenen schuiven vanuit je verkokerde fascistische neo-Gladio mentaliteit. De Oekrainer houdt zich daar toch nooit mee bezig, ben je mal, man.

Ik moet wel even de voorgeschreven palaver willen volgen, anders plaatsen we jouw berichtgeving niet, rare Pan-Slaven-fan. Ik zie nog voor mijn ogen die foto van een bedelend getto-knaapje in Polen uit het SS-Leitheft tijdens de Barbarossa Feldzug (Drang Ost) met daarbij het onderschrift: "We hebben de inrichtingen van deze socialistische paradijzen gezien".
Er zijn er nog, die weer heimelijk naar deze heilstaat terug verlangen, G*dbetert, "ludowi wrogowie", volksvijanden, dat zijn het allemaal.

Mag ik als 70-plusser straks nog wel een openbare eetgelegenheid bezoeken of wordt ik geweerd?

Jodocus Oyevaer
29-05-2020, 18:12 door The FOSS
Door Anoniem: Je moet wel de Exim patch installeren, ...

Klopt!

Door Anoniem: ..., dan heeft de NSA weer alleen toegang tot de bestanden ipv iedereen.

Wot? Complottheoriedenker?
29-05-2020, 22:10 door Anoniem
Amazon cloud valt mij continu lastig, graag ook aanpakken
01-06-2020, 18:35 door Anoniem
Door Anoniem: L.S.

En als de beheerders erop betrapt worden, willen ze die info ook nog graag verwijderd zien, want de directe chef zou eens in de gaten krijgen hoe incompetent ze zijn. Aan de andere kant komt het natuurlijk ook voor dat zij geen schuld dragen, maar de manager zonder technische kennis van zaken en met groot geloof in dozenschuivers bepaalt wat er met de distro moet gebeuren.

Geklunkel in de hele keten van hoog tot laag en alles onder het tapijt vegen en goede mensen als dissidenten neerzetten om eigen lijfbehoud... Dat is toch van alle tijden eigenlijk. Zo'n organisaties die hun eigen belang niet meer dienen worden vroeg of laat wel door de natuur opnieuw gevormd. Ik heb het dan niet eens over algemeen belang of Westerse/ democratisch belang.

Mensen die in sprookjes geloven (als je begrijpt wat ik bedoel) moet je geen organisatie laten runnen, of dat nou middenmanagement is of de delegatie verantwoordelijk voor de regio in Nederland cq Europa. Anderen dwingen in sprookjes te geloven gaat niet echt werken (het verdoezeld failures wel natuurlijk) maar dit zal niet tot oplossingen leiden inzake concurrentie.


Als die laatsten over de uitrol van patches en het patch-beleid gaan, nou dan kun je nog wel het een en ander gaan opzoeken op shodan.io, vulners en via een rogue gescript XSS-DOM scannertje.

Het houdt sommigen tijdens de lock-down wel van de straat. ;) In feite te zielig voor woorden, maar je kan altijd nog de Ruzzians en Tee AAhr You EM Pee de schuld in de schoenen schuiven vanuit je verkokerde fascistische neo-Gladio mentaliteit. De Oekrainer houdt zich daar toch nooit mee bezig, ben je mal, man.

Een keurslijf zal nooit werken. Laat de Lemmings maar Lemmingen zijn. In een "systeem" van protocollen en M/O past geen afwijking. Daarom zal assymetrie en hybride methodiek altijd winnen.

In de tijd van Napoleon stonden de Fransen en Engelsen nog netjes tegenover elkaar in rijtjes en op commando mochten ze op elkaar schieten, wie overblijft is dan de "winnaar". Zo gaat het anno 2020 ook weer.

Daarbij is het grootste gevaar de poppetjes met informatie of zeggenschap in een veldslag die mogelijk voor den vijand werken. Weet je waar de buitenlandse spionnen zitten? Bovenop dingen als "gladio", NATO, NSA Nederland enz. Die duiken bovenop elke gewone Hollander (ik, jou) met een steeds veranderende mening als die op een bepaald moment niet uitkomt, weet je waarom? Afleiding van hun eigen allianties.

Men maakt al grapjes over "hoeveel zou het kosten om een prive NSA dienst te kopen?". Dan weet je dus genoeg. Die organisaties moet je soms een beetje tegen zichzelf beschermen. De voorspelling van een facistische leider met toegang tot alles is uitgekomen... was dat niet genoeg soms om aan de "dissidenten" en "dwarsliggers" tegemoet te komen van U hebt gelijk enz?


Ik moet wel even de voorgeschreven palaver willen volgen, anders plaatsen we jouw berichtgeving niet, rare Pan-Slaven-fan. Ik zie nog voor mijn ogen die foto van een bedelend getto-knaapje in Polen uit het SS-Leitheft tijdens de Barbarossa Feldzug (Drang Ost) met daarbij het onderschrift: "We hebben de inrichtingen van deze socialistische paradijzen gezien".
Er zijn er nog, die weer heimelijk naar deze heilstaat terug verlangen, G*dbetert, "ludowi wrogowie", volksvijanden, dat zijn het allemaal.

Mag ik als 70-plusser straks nog wel een openbare eetgelegenheid bezoeken of wordt ik geweerd?

De valkuil is de overheid de schuld geven of takken van defensie en/of OTAN. De infiltranten in onze maatschappij willen dat graag. Misschien zitten ze zelf wel binnen V&J Bzk OTAN enz "overheid spelen" en zorgen binnen die organisaties zelf voor de ellende waar ontevreden burgers deze instituten dan van betichten.

De overheid is echt geen heilige graal. Ze moeten het ook maar hebben van mensen met expertise op de juiste plekken. Als je een beetje handig bent kun je zo overal aan de slag. Het probleem zijn diegenen die de overheid leegroven en van dat geld media beinvloeden om sentimenten tegen die overheid aan te wakkeren.


Overigens werkt de loyaliteit hier heel erg 1 kant op. Als je ook maar iets voor dit land hebt gedaan mag je op zijn minst loyaliteit naar jou verwachten. Als je een bijv een Amerikaans paspoort hebt en je zit vast in een vreemd land dan vallen ze dat land nog in. Die Amerikanen kunnen dat dus wel. Was men maar wat eerlijker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.