在5月底,美国国家安全局(NSA)发出警告,俄罗斯黑客集团Sandworm自去年8月开始,针对邮件传输代理程序(Mail Transfer Agent,MTA)Exim,利用一个在去年6月被公开的漏洞CVE-2019- 10149,不断发出攻击,呼吁企业要赶快修补Exim。但实际暴露于已知漏洞风险的Exim服务器数量,究竟有多少?威胁鉴识公司RiskIQ公布了他们的分析结果,从5月1日到27日之间,他们总共发现有至少90万台Exim主机,存在被上述黑客集团攻击的风险。
RiskIQ指出,美国国家安全局提到的CVE-2019-10149,他们认为只是其中一个被Sandworm滥用的漏洞,黑客还可能同时利用了2个Exim漏洞,分别是CVE- 2019-15846与CVE-2019-16928,它们也都可被用于远程程序代码执行攻击(RCE),于去年9月获得修补。这些漏洞都是在Exim在4.92版修补CVE-2019-10149之后,才被公开并得到处置。而上述提及存在相关风险的Exim邮件传输代理程序主机,有超过60万台是升级到4.92版,换言之,暴露于CVE-2019-10149漏洞的旧版Exim主机,有近30万台。
根据RiskIQ的统计数据,在面临前述黑客组织威胁的Exim服务器,大约每3台就有2台是4.92版,显示许多企业相当重视CVE-2019-10149漏洞带来的问题,但光是更新到4.92版还不够,因为另外两个漏洞也相当严重。另一方面,美国国家安全局呼吁企业要采取的因应措施,是升级Exim到最新版本(目前是4.94版),因此RiskIQ指出,企业不应认为只要升级到4.92版,就足以缓解遭到俄罗斯黑客锁定的危机。