过往骇客组织锁定的邮件伺服器系统,多半以微软的Exchange为主,但最近两到三年,有越来越多骇客针对Roundcube、Zimbra等开源解决方案而来,因此这类系统若是出现资安漏洞,也相当值得留意。
最近有资安业者发现Roundcube重大层级漏洞,值得留意的是,由于不光是IT人员用来架设邮件伺服器,再加上有其他应用系统如主机管理平台cPanel、Plesk整合Roundcube,亦有Yandex.Mail、Zoho Mail等服务采用,因此这种漏洞的影响范围会相当可观。
【攻击与威胁】
勒索软体攻击极为泛滥,许多企业会透过各式资安防护系统与备份机制因应,但道高一尺,魔高一丈,骇客也采取更难被侦测的手法犯案,其中最常见的手法,就是自行携带存在已知弱点的驱动程式(BYOVD),借此停止EDR端点代理程式的运作。
但除了透过BYOVD对EDR下手,骇客也会滥用作业系统内建合法元件或功能来掩人耳目,最近资安业者Cyfirma揭露的勒索软体Lyrix,就是这样的例子。骇客从试图对抗研究人员的虚拟机器和沙箱,以及隐匿行踪与回避资安系统侦测的手段,基本上几乎都是透过Windows内建的API来达到目的。
骇客如何用OS内建API?用了哪些API进行攻击?研究人员指出,骇客透过VirtualProtect侦测是否在虚拟机器执行,并使用GetCurrentProcess、TerminateProcess控制恶意程式的运作,或是进行权限提升、把恶意程式码注入到特定处理程序的情况。接著,骇客使用GetDriveTypeW、FindNextFileExW从受害电脑找出想要加密的资料。
为了确保能够符合资安法规及相关要求,有些企业可能会导入自动化资安合规平台因应,然而这类系统一旦出错,很有可能导致一些意想不到的资安问题。
根据资安新闻网站HackRead的报导,自动化资安合规业者Vanta近日确认,其系统内部的程式码错误导致部分客户的敏感资料,可被其他客户存取。该公司强调,这起事件并非外部攻击,而是由于产品程式码变更所引发的问题。
Vanta于5月26日察觉此事,并立即展开调查与修复作业。针对影响的范围,Vanta表示,受影响的资料来自第三方整合,约占不到20%,而受影响的客户不到4%。由于Vanta拥有超过1万个客户,这意味著可能有数百家企业受到影响。
值得留意的是,此漏洞不仅相当严重,影响可能还相当广泛。Fears Off指出,这项弱点影响2015年推出的1.1.0版,换言之,近10年的Roundcube都可能曝险;再者,此邮件系统不光是IT人员用于架设邮件伺服器,也是cPanel、Plesk、ISPConfig、DirectAdmin等管理工具的内建元件,因此研究人员估计,全球可能有超过5,300万台伺服器曝险。
【资安产业动态】
继微软和CrowdStrike宣布此事,Google及Mandiant、Palo Alto Networks也表态,他们将会加入合作的行列。