Cybersicherheit: NSA warnt vor russischen Angriffen auf Mailserver

Die NSA sieht das Sandworm-Team des russischen Militärgeheimdienst GRU hinter einer Welle von Cyberattacken auf Exim-Server und mahnt zum Patchen.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Cybersicherheit: NSA warnt vor russischen Angriffen auf Mailserver

Die NSA rät Administratoren dazu, ihre Exim-Server mindestens auf die Version 4.93 upzudaten.

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 3 Min.

Russische Spezialkräfte des Militärgeheimdiensts GRU nutzen aktiv eine bereits seit fast einem Jahr öffentlich bekannte Sicherheitslücke im weitverbreiteten E-Mail-Server Exim aus. Davon geht zumindest die National Security Agency (NSA) aus, der nicht nur technischer Geheimdienst ist, sondern auch eine Cybersicherheitsbehörde der USA.

Die Angriffswelle soll vom GRU-Team Sandworm ausgehen, das auch als BlackEnergy Group, Telebots oder VoodooBear bekannt ist. Die Gruppe greift laut NSA-Warnung Exim-Server mindestens seit August über die kritische Schwachstelle CVE-2019-10149 an. Diese soll sich vergleichsweise trivial ausnutzen lassen, teilte ein Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) Mitte Juni 2019 mit. Auch Attacken aus der Ferne seien vorstellbar. Letztlich könnten Angreifer mit Root-Rechten Schadcode auf Mailservern ausführen.

Wenig später hatte Microsoft vor einem Linux-Wurm gewarnt, der sich über Angriffe auf die verwundbaren Exim-Versionen 4.87 bis einschließlich 4.91 durch Netzwerke zu fressen versuche. Microsofts Sicherheitshinweis richtete sich speziell an Nutzer des Cloud-Diensts Azure, auch wenn dort bereits Abwehrmechanismen getroffen worden seien.

Nach Angaben der NSA verwendet die GRU-Einheit die Lücke, um ein Shell-Skript von einer von ihr kontrollierten Webseite herunterzuladen und auszuführen. Damit könnten sie sich privilegierte Nutzerrechte verschaffen, die Einstellungen zur Netzwerksicherheit ausschalten, SSH-Konfigurationen updaten und so zusätzliche Zugangsmöglichkeiten aus der Ferne eröffnen. Zudem werde ein weiteres Skript gestartet mit dem Ziel, sich die angegriffene Maschine auch künftig einfach zu Diensten zu machen.

Administratoren sollten laut NSA ihre Exim-Server mindestens auf die Version 4.93 updaten und nach Hinweisen auf ein kompromittiertes System achten. Der US-Geheimdienst bringt dabei die IP-Adressen und Domains 95.216.13.196, 103.94.157.5 sowie hostapp.be mit Sandworm in Verbindung.

Die IT-Sicherheitscommunity müsse den Fall ernst nehmen, mahnte Doug Cress, Leiter des NSA-Kollaborationszentrums für Cybersecurity, laut einem Reuters-Bericht. Angaben zur Zahl betroffener Rechner oder zu besonders betroffenen Regionen wollte er demnach nicht machen. Fast die Hälfte der E-Mail-Server weltweit arbeitet mit Exim. Laut einer Übersicht von Anfang Mai war aber erst die Hälfte davon bereits mindestens auf dem Stand der gegen die Schwachstelle abgesicherten Version 4.93.

Die USA und andere Mitglieder der westlichen 5-Eyes-Geheimdienstallianz sind seit einigen Jahren dazu übergegangen, immer wieder gezielt auf Cyberattacken offenbar russischen Ursprungs zu verweisen und auf die dahinter vermuteten Akteure zu verweisen. Sandworm soll demnach etwa hinter einem Angriff auf Georgien, auf die Stromversorgung der Ukraine sowie Attacken mit der Malware NotPetya und BadRabbit stecken. Unmittelbar überprüfbar sind die Anschuldigungen meist nicht.

(anw)