United States Computer Emergency Readiness Team (US-CERT)は5月28日(米国時間)、「NSA Releases Advisory on Sandworm Actors Exploiting an Exim Vulnerability |CISA」において、メールトランスファーエージェント「Exim」が脆弱性(CVE-2019-10149)を悪用した攻撃を受けていると伝えた。この脆弱性は修正パッチも公開されており、攻撃者はパッチが当てられていないEximサーバを見つけて攻撃を実施しているという。

サイバー攻撃はロシアのAdvanced Persistent Threat(APT)グループ「Sandworm」が行っているとされている。この攻撃を受けて、アメリカ国家安全保障局(NSA: National Security Agency)はセキュリティ情報を勧告として発表した。情報は次のドキュメントにまとまっている。

  • CSA Sandworm Actors Exploiting Vulnerability in Exim Transfer Agent 20200528

    CSA Sandworm Actors Exploiting Vulnerability in Exim Transfer Agent 20200528

この脆弱性を悪用されると、攻撃者によって細工されたメールによってroot権限でコマンドが実行される危険性があるとされている。最終的には、マルウェアのインストールやデータ変更、新しいアカウントの追加などが行われる可能性があり注意が必要。