不只Linux伺服器，Azure也被駭客鎖定Exim漏洞攻擊

微軟周一發出公告，近日發現Exim郵件伺服器元件的遠端指令執行（RCE）漏洞，可能影響Azure上的Linux系統用戶。

全球將近六成或數百萬臺主機使用的郵件伺服器元件Exim，本月再被發現有編號CVE-2019-10149的遠端指令執行（Remote Command Execution，RCE）漏洞，可讓駭客以最高權限執行任意指令。受影響版本包括4.87 到4.91版的Exim。上周安全公司已經發現至少二波攻擊行動，包括會自我繁殖的蠕蟲，會移除Exim伺服器上的挖礦程式及任何防護工具，再安裝自己的挖礦程式，尤其鎖定Linux伺服器，包括RHEL、Ubuntu、Debian和Alpine Linux等。

而透過VM在Azure上跑上述版本Exim元件的Linux郵件伺服器也會同樣受波及。微軟指出，該公司安全回應中心（MSRC）本周證實，開採Exim RCE漏洞的Linux蠕蟲鎖定Azure客戶。

微軟指出，Azure 2017年曾加強垃圾郵件控管機制可限制蠕蟲擴散，例如只有特定訂閱類型才能從VM上寄出郵件，但是本身使用有漏洞Exim軟體的客戶仍無法倖免。Azure VM用戶應自行更新Linux作業系統中的Exim版本。

暫時無法更新的用戶，可考慮透過設定網路安全群組（Network Security Groups，NSGs）來過濾或封鎖部份流量，這個方法可阻擋來自網際網路的蠕蟲或進階惡意程式。但微軟警告，如果企業的網路安全群組放行攻擊者的IP位址，則問題系統仍然可能遭遠端指令執行攻擊。最終極解決之道，仍是升級到Exim 4.92版。