微軟周一發出公告,近日發現Exim郵件伺服器元件的遠端指令執行(RCE)漏洞,可能影響Azure上的Linux系統用戶。

全球將近六成或數百萬臺主機使用的郵件伺服器元件Exim,本月再被發現有編號CVE-2019-10149的遠端指令執行(Remote Command Execution,RCE)漏洞,可讓駭客以最高權限執行任意指令。受影響版本包括4.87 到4.91版的Exim。上周安全公司已經發現至少二波攻擊行動,包括會自我繁殖的蠕蟲,會移除Exim伺服器上的挖礦程式及任何防護工具,再安裝自己的挖礦程式,尤其鎖定Linux伺服器,包括RHEL、Ubuntu、Debian和Alpine Linux等。

而透過VM在Azure上跑上述版本Exim元件的Linux郵件伺服器也會同樣受波及。微軟指出,該公司安全回應中心(MSRC)本周證實,開採Exim RCE漏洞的Linux蠕蟲鎖定Azure客戶。

微軟指出,Azure 2017年曾加強垃圾郵件控管機制可限制蠕蟲擴散,例如只有特定訂閱類型才能從VM上寄出郵件,但是本身使用有漏洞Exim軟體的客戶仍無法倖免。Azure VM用戶應自行更新Linux作業系統中的Exim版本。

暫時無法更新的用戶,可考慮透過設定網路安全群組(Network Security Groups,NSGs)來過濾或封鎖部份流量,這個方法可阻擋來自網際網路的蠕蟲或進階惡意程式。但微軟警告,如果企業的網路安全群組放行攻擊者的IP位址,則問題系統仍然可能遭遠端指令執行攻擊。最終極解決之道,仍是升級到Exim 4.92版。


Advertisement

更多 iThome相關內容