Exim郵件系統被駭事件
I.事件摘要
根據美國國安局(National Security Agency, NSA)表示,俄羅斯駭客團體(Sandworm)至少在2019年8月就開始利用Exim Mail Transfer Agent(MTA)軟體當中的漏洞。
未經授權的駭客利用此漏洞發送特製電子郵件以執行具有Root特權的命令,從而使駭客可以安裝程式、修改數據和創建新帳戶。
II.Exim與其資安問題
Exim的作者是Philip Hazel,它是一個用在Unix系統上的郵件傳輸代理程式(Mail Transfer Agent, MTA),它是根據GNU project所設計的程式,因此是免費的。Exim被廣泛的運用在郵件伺服器上,也因此成為駭客下手的目標。
 |
| (圖一)Freddie Leeman的Twitter |
而在2019年6月時,安全廠商Qualys就警告Exim存在編號CVE-2019-10149的Remote Command Execution(RCE)漏洞。6月9日時,Freddie Leeman偵測到第一個針對CVE-2019-10149而來的攻擊程式,出自一台位在http://173.212.214.137/s 的遭感染的主機。(圖ㄧ)
 |
| (圖二) Amit Serper的Twitter |
而在一週過後,安全廠商又發現了另一起攻擊行動。駭客傳送一個包含Envelope-From(532.MailFrom)程式碼的郵件、下載Shell Script,目的在使用Exim伺服器上的私鑰,藉此開啟外部對這台Exim的SSH連線,進而下載後門程式。Cyberreason研究人員Amit Serper(圖二)發現,第二波攻擊是一個自我複製的蠕蟲,在遠端執行指令完成後就啟動傳輸埠掃瞄,尋找其他感染目標,之後它會移除Exim伺服器上的挖礦程式及任何防護工具,再安裝自己的挖礦程式。因此Exim管理組織呼籲使用者應升級到當時的最新版本4.92版。而在2020年5月發現俄羅斯駭客團隊Sandworm在開採Exim漏洞,更新至4.93版。
III.攻擊方式(2020年5月)
 |
| 攻擊範例 |
成功使用CVE-2019-10149後,駭客可以執行他們的程式碼。Sandworm團隊在駭進Exim時,受害者電腦就在Sandworm的控制之下下載並執行一連串的Shell script。此Shell script 可以執行的操作有:
1. 添加有特權(授權)的用戶→Root特權
2. 禁止使用網路安全的設定
3. 更新SSH連線狀況,使他能夠永端存取控制
4. 執行其他script 讓他以後能繼續使用。
1. 添加有特權(授權)的用戶→Root特權
2. 禁止使用網路安全的設定
3. 更新SSH連線狀況,使他能夠永端存取控制
4. 執行其他script 讓他以後能繼續使用。
IV.緩解措施
1. 立即更新至最新版本(目前最新版本為4.93版)
檢測Exploit Attempts:例如,使用Snort軟體。Snort會針對Snort Intrusion Detection System(入侵偵測系統,IDS)的註冊用戶發出關於Exploit Attempt的警報。鼓勵管理員檢查保護Exim郵件服務器的網路安全設備,以識別先前的漏洞。還可以查詢原始收件人包含“${run”的郵件(可能為CVE-2019-10149的Exploit Attempts)。
定期驗證是否發生未經授權的系統修改(例如SSH金鑰),可以幫助檢測是否受到攻擊。
V.結語
Exim的漏洞事件從去年(2019)就已經發生過,在版本更新過後的一年,又被發現遭到攻擊。雖然程式出現漏洞被駭入是程式本身的問題,但我認為資訊安全是個人人都需都需要擁有的意識,如同防疫一般,以防止電腦病毒的散播。尤其是近期台灣資安事件頻傳,例如:中油資訊系統感染病毒、總統府內部文件外流等事件。然而台灣人對這類新聞的關注度似乎沒有那麼高,導致媒體對這類新聞的報導不多也不深入。舉這次Exim漏洞的事件為例,只有在ithome的網站上看到這則新聞的報導,而Exim又是一個被廣泛運用的程式,甚至是許多Linux版本的預裝程式,市佔率高達57%(參考資料1內部的資訊),媒體卻沒有對這則新聞有深刻的報導。
面對資安事件,我們可以做些什麼來保護自己的重要資料?
1. 定期更新密碼,防止帳號被盜用
2. 資料備份,避免資料被竄改或刪除
3. 電腦加裝防毒軟體
4. 隨時確保系統軟體在最新版本。相信當我們每個人都有這樣的意識之後,就能減少駭客的入侵。
2. 資料備份,避免資料被竄改或刪除
3. 電腦加裝防毒軟體
4. 隨時確保系統軟體在最新版本。相信當我們每個人都有這樣的意識之後,就能減少駭客的入侵。
VI.參考資料
1. ithome:https://ithome.com.tw/news/137947
2. NSA:https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2196511/exim-mail-transfer-agent-actively-exploited-by-russian-gru-cyber-actors/
3. https://www.us-cert.gov/ncas/current-activity/2020/05/28/nsa-releases-advisory-sandworm-actors-exploiting-exim
4. 這次事件的報告:(攻擊範例來自此網站)https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf
5. Freddie Leeman Twitter照片(圖一):https://twitter.com/freddieleeman/status/1137729455181500421
6. Amit Serper Twitter照片(圖二): https://twitter.com/0xAmit/status/1139165487093420035
7. Qualys警告:https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt
8. CVE-2019-10149:https://www.exim.org/static/doc/security/CVE-2019-10149.txt
1. ithome:https://ithome.com.tw/news/137947
2. NSA:https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/2196511/exim-mail-transfer-agent-actively-exploited-by-russian-gru-cyber-actors/
3. https://www.us-cert.gov/ncas/current-activity/2020/05/28/nsa-releases-advisory-sandworm-actors-exploiting-exim
4. 這次事件的報告:(攻擊範例來自此網站)https://media.defense.gov/2020/May/28/2002306626/-1/-1/0/CSA%20Sandworm%20Actors%20Exploiting%20Vulnerability%20in%20Exim%20Transfer%20Agent%2020200528.pdf
5. Freddie Leeman Twitter照片(圖一):https://twitter.com/freddieleeman/status/1137729455181500421
6. Amit Serper Twitter照片(圖二): https://twitter.com/0xAmit/status/1139165487093420035
7. Qualys警告:https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt
8. CVE-2019-10149:https://www.exim.org/static/doc/security/CVE-2019-10149.txt
留言
張貼留言