Sélection de la langue

Alerte - Exploitation continue de la vulnérabilité Exim

 

Numéro : AL20-017
Date : 3 juin 2020

AUDITOIRE

La présente alerte d’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

ÉVALUATION

Le Centre pour la cybersécurité est au courant du fait que la vulnérabilité Exim (CVE-2019-10149), décrite dans l’alerte AL19-012 du 14 juin 2019, continue d’être exploitée activement. Aussi récemment qu’en mai dernier, des compromissions découlant de cette vulnérabilité auraient été enregistrées au Canada.

Un auteur de menace distant ou local peut exploiter cette vulnérabilité en envoyant à un serveur Exim vulnérable une commande dans un courriel spécialement conçu à cet effet. Si l’exploitation porte ses fruits, la commande injectée s’exécutera en tant que propriétaire de processus de l’agent de transfert de messages (ATM) qui, dans la plupart des cas, est le compte racine du système.
Un auteur de menace qui parviendrait à exploiter cette vulnérabilité pourrait ainsi compromettre d’autres serveurs Exim, installer des maliciels (tel qu’un logiciel de minage [voir la référence 1]) ou infiltrer plus en profondeur le réseau d’une organisation. Les commandes malveillantes pourraient également tenter de s’implanter en permanence dans le serveur touché en affaiblissant les contrôles de sécurité et en ajoutant des comptes utilisateur supplémentaires afin de fournir à l’auteur malveillant un accès distant.

MESURES RECOMMANDÉES

Le Centre pour la cybersécurité recommande d’examiner les systèmes potentiellement vulnérables afin de déceler des changements qui pourraient indiquer une compromission, notamment :

  • examiner les journaux système pour cerner la présence d’activités inhabituelles ou non autorisées;
  • examiner toutes les tâches cron pour déceler la présence d’entrées non autorisées;
  • si le protocole SSH est activé sur le serveur, examiner le fichier de configuration du serveur SSH pour détecter la présence de changements inconnus ou suspects et examiner les clés d’authentification RSA installées localement pour cerner la présence d’ajouts non autorisés;
  • surveiller le serveur afin de détecter toute connexion SSH inhabituelle;
  • vérifier si des utilisateurs ayant des privilèges élevés ont été ajoutés récemment;
  • s’assurer qu’il n’existe aucun compte utilisateur privilégié de base de données;
  • confirmer que les règles de coupe-feu n’ont pas été modifiées en vue d’affaiblir les contrôles de sécurité.

ATTÉNUATION ET SURVEILLANCE

Le Centre pour la cybersécurité recommande l’application des mesures suivantes afin de détecter et de prévenir les tentatives d’exploitation des systèmes potentiellement vulnérables :

  • télécharger les correctifs les plus récents pour les versions vulnérables d’Exim et installer la toute dernière version prise en charge d’Exim [voir la référence 2];
  • passer en revue les journaux de courrier électronique pour relever les enregistrements suspects dans les champs « RCPT TO » ou « MAIL FROM » qui pourraient indiquer la présence de tentatives de compromission [voir les références 3 et 4], comme les suivants :
    • MAIL FROM:<${run{
    • RCPT TO:<${run{
  • le 21 juin 2019, ProofPoint Emerging Threats a publié une règle de détection (identifiant de signature : 2027442) pour les systèmes de détection d’intrusion Suricata afin de faciliter le repérage des activités malveillantes liées à RCPT TO [voir la référence 5];
  • passer en revue les indicateurs de compromission fournis dans l’alerte AL19-012 du CCC [voir la référence 6] ainsi que les autres méthodes de détection et d’atténuation présentées dans la publication de la NSA ci-dessous [voir la référence 4].

RÉFÉRENCES

[Référence 1] Déclaration de compromission aux fins de minage :
https://www.cybereason.com/blog/new-pervasive-worm-exploiting-linux-exim-server-vulnerability (en anglais seulement)

[Référence 2] Mises à jour les plus récentes d’Exim aux fins de téléchargement :
https://exim.org/mirrors.html (en anglais seulement)

[Référence 3] Rapport précoce de la vulnérabilité CVE-2019-10149 :
https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt (en anglais seulement)

[Référence 4] Rapport de la National Security Agency (États-Unis) décrivant la vulnérabilité CVE-2019-10149 :
https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf (en anglais seulement)

[Référence 5] Signature Suricata pour CVE-2019-10149 de Emerging Threats :
https://doc.emergingthreats.net/bin/view/Main/2027442 (en anglais seulement)

[Référence 6] Alerte AL19-012 du CCC portant sur la vulnérabilité Exim :
https://www.cyber.gc.ca/fr/avis/exploitation-active-de-la-vulnerabilite-exim-observee-dans-la-nature


NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Coordonnées du Centre pour la cybersécurité :
Courriel : contact@cyber.gc.ca
Numéro de téléphone sans frais : 1-833-CYBER-88 (1-833-292-3788)

Date de modification :