Exim郵件系統被駭事件
I. 事件摘要 根據美國國安局 (National Security Agency, NSA) 表示,俄羅斯駭客團體 (Sandworm) 至少在 2019 年 8 月就開始利用 Exim Mail Transfer Agent(MTA) 軟體當中的漏洞。 未經授權的駭客利用此漏洞發送特製電子郵件以執行具有 Root 特權的命令 ,從而使駭客可以安裝程式、修改數據和創建新帳戶。 II. Exim 與其資安問題 Exim 的作者是 Philip Hazel ,它是一個用在 Unix 系統上的郵件傳輸代理程式( Mail Transfer Agent, MTA ),它是根據 GNU project 所設計的程式,因此是免費的。 Exim 被廣泛的運用在郵件伺服器上,也因此成為駭客下手的目標。 (圖一)Freddie Leeman的Twitter 而在 2019 年 6 月時,安全廠商 Qualys 就警告 Exim 存在編號 CVE-2019-10149 的 Remote Command Execution ( RCE )漏洞。 6 月 9 日時, Freddie Leeman 偵測到第一個針對 CVE-2019-10149 而來的攻擊程式,出自一台位在 http://173.212.214.137/s 的遭感染的主機。(圖ㄧ) (圖二) Amit Serper的Twitter 而在一週過後,安全廠商又發現了另一起攻擊行動。駭客傳送一個包含 Envelope-From(532.MailFrom) 程式碼的郵件、下載 Shell Script ,目的在使用 Exim 伺服器上的私鑰,藉此開啟外部對這台 Exim 的 SSH 連線,進而下載後門程式。 Cyberreason 研究人員 Amit Serper (圖二)發現,第二波攻擊是一個自我複製的蠕蟲,在遠端執行指令完成後就啟動傳輸埠掃瞄,尋找其他感染目標,之後它會移除 Exim 伺服器上的挖礦程式及任何防護工具,再安裝自己的挖礦程式。因此 Exim 管理組織呼籲使用者應升級到當時的最新版本 4.92 版。而在 2020 年 5 月發現俄羅斯駭客團隊Sandworm在開採Exim漏洞, 更新至 4.93 版。 III. 攻擊方式(