全球電子郵件系統安全亮紅燈！網擎解析郵件伺服器軟體資安危機

電子郵件是眾多資安廠商公認最主要的網路攻擊起點，從2023年下半到現在，就有多起相關的資安事故與漏洞濫用事件躍上媒體版面，知名的郵件伺服器與郵件安全閘道陸續傳出災情，像是：Microsoft 365雲端服務的Outlook Web Access in Exchange Online（OWA），以及Outlook.com（HPE、歐美政府），開放原始碼電子郵件系統Zimbra，Barracuda郵件安全閘道設備，以及Cisco郵件安全閘道。

對於專營郵件伺服器與郵件安全系統的網擎資訊而言，也深刻體認到資安局勢日趨嚴峻，執行長廖長健在9月11日舉行的Hello World開發者大會首日下午的演講，一開場就有感而發。

他表示，網擎目前服務許多重要客戶，雖然實際沒看到大量砲彈槍藥的來襲與血腥衝突，但每一天的資安都處於激烈攻防的戰爭狀態。就算強大如Google、微軟，任何軟體、雲端服務的業者並非百毒不侵，時時刻刻都面臨駭客的威脅。

電子郵件資安面臨不對稱的作戰態勢

「你的敵人看不見、你的敵人不睡覺，總是想方設法、一直要攻破你」，事實上，我們如今已身處在不對稱的作戰局勢，所需因應的資安威脅當中，有許多來自國家級駭客，而這些被稱為「網軍」的攻擊者，現在的組織運作也走向「民營化」，他們不僅輪班進行滲透、發動攻擊，一旦成功侵入還會得到獎金，因此受到的激勵程度是非常強烈的，而且是持續進行的。

事實上，國家級駭客攻擊的目標相當多元，包含銀行、關鍵基礎設施、政府機關、廠商，以及企業在內，都面臨這樣的資安威脅。以臺灣的軟體公司而言，大多是中小企業的經營規模，只有幾十個人抵禦，攻擊方卻是幾千人，此時若要做好資安，需要借助一些方法論和概念進行調整，而箇中關鍵不只是資安意識的提升，我們應該鼓勵通報文化、主動共享情資，導入聯防機制，建立正確的資安意識與開發流程。

廖長健期勉大家一旦發現自己被駭，一定要勇於解決問題，而非掩蓋，因為如果不及早處理，我們無法知道後續的影響有多深遠，例如，有可能會一直遇到資料外洩的狀況。

他認為，任何有能力的廠商，都會主動發現自己的弱點，並且鼓勵他們的客戶趕快更新，所以他呼籲在座的IT主管，「千萬不要覺得一家公司的CVE（通用漏洞揭露）很多，就認為他們不安全」，相反地，正因為他們有能力找到自己的弱點、勇於及時公布，並且分享情資讓大家趕快更新，也突顯他們負起應有責任的態度。

事實上，有些廠商不僅本身沒有能力發布CVE，甚至連自己的弱點被發現、被攻進來都渾然不知，而在這樣的狀況下，多數人應該都無法認同這樣的廠商重視資安、做好資安。因此，如果我們常常接收到廠商願意發出CVE，應該要先肯定他們勇於面對問題與及時更新的舉動。

針對先前發生一連串的郵件雲端服務與郵件安全閘道資安事故，廖長健說明電子郵件為何成為駭客想要攻入的目標。

理由是電子郵件是最容易經手處理各種資訊的重要管道，所傳遞的內容未必很機密，但是，攻擊者可以透過郵件了解很多組織的脈絡，以及最近關切的事情，有了這些資訊，能夠進行很多的社交工程，設計出能夠欺騙使用者的東西，所以，攻擊郵件閘道、郵件系統是全世界駭客最喜歡做的事情，而過去這幾個月以來，許多廠商都中招，也包含網擎資訊。

他們之所以被盯上，廖長健認為，可能因為攻擊者的最終目標是大型金控公司、一級政府單位、重要的醫院，或是關鍵區域設施，但因為這些企業與機構不斷強化資安，所以駭客不容易攻進單位內部，於是攻擊者把腦筋動到供應商，開始從合作的系統整合廠商、IT維運廠商、軟體供應商著手，希望從中找到破口。除此之外，企業與廠商使用的IT產品與服務，如果本身整合第三方提供的軟硬體元件，像是PHP、Java，以及一些工具，或是攻擊者得知目標單位所用的Linux作業系統版本，有個資安漏洞，而這些歹徒可能就會直接攻擊這些第三方元件，就能夠滲透到供應商內部，最後，並且透過遭駭廠商，而得以侵入企業IT環境。

基於上述理由，企業與組織不只是自己要防得好，利害關係人也要守好，因為攻擊是非常多面向的。廖長健表示，對於網擎資訊而言，在供應鏈攻擊的對象當中，他們成為駭客目標的可能原因，一方面在於本身扮演供應商、解決方案公司的角色，另一方面是本身採用第三方軟體元件，駭客從這個層面尋找漏洞、乘虛而入，後續這些存在漏洞濫用風險，甚至已被滲透或竄改的元件，若不慎被包入網擎的軟體產品或雲端服務，就可能成為破口。因此，他們必須要做到許多防護，而且持續提升資安。

而在實際資安事故的因應能力上，廖長健表示，今年截至目前為止，網擎總共發出9次資安通報，其中有60％是低風險漏洞，多為跨站指令碼（XSS）類型的弱點，40％為高風險漏洞，而在這些弱點中，專屬於網擎產品本身的漏洞占了一半，其餘是他牌郵件伺服器或郵件安全閘道共通的弱點：第三方元件的問題。

廖長健提到此事，顯然是為了藉機駁斥市場傳言，他強調，網擎產品本身的高風險漏洞只占20％，而且，很多都是他們主動發現、主動更新的。

難阻止駭客取得產品，從中可研究本體與第三方元件弱點

面對外界質疑攻擊者為何熟悉網擎的系統，廖長健無奈地解釋軟體開發商目前面臨的產品資安挑戰局面，相當嚴峻。

他說，現在想要知道軟體產品的程式邏輯不難，無須透過內部人員或離職員工洩漏。首先，對於商用軟體廠商而言，可經由許多管道申請測試版與操作文件，例如，發出電子郵件或透過經銷商索取，網擎過去都有盡力把關，但仍無法完全杜絕；攻擊者一旦取得套裝軟體，即可設置測試環境，查看當中使用的第三方元件與版本，此處若具有已知漏洞，他們能就設計出可濫用此漏洞的檔案進行滲透。

第二個取得程式邏輯的方式，是經由逆向工程反組譯而成。網擎的經驗是接到資安廠商的通報，他們在長期監測國家級駭客攻擊活動的過程中，發現網路釣魚信件涉及的惡意程式，命名與網擎資訊的英文名稱Openfind有關，因此他們經由某種管道取得網擎的程式進行逆向工程，而在該公司的通報是以他們剖析出來的程式碼，指出網擎某款軟體存在的資安漏洞，所以有可能被駭客利用。廖長健表示，雖然資安廠商以此種方式取得的程式碼，變數名稱與網擎這個產品所用的不同，但程式邏輯是接近的，就能根據這些資訊推斷弱點所在。因此，對於軟體開發廠商而言，在用戶端環境執行的已編譯雙位元檔，如果本身沒有加上嚴密防護，具有足以抵抗逆向工程的能力，程式邏輯是能夠被反組譯出來。而且，既然資安廠商能夠這麼做，其實，也代表駭客可以藉此找到可乘之機。

第三種探測產品使用間隙的方式，也是在測試環境安裝套裝軟體之後能進行的，那就是從作業系統層級的處理程序追蹤，以Linux環境而言，可經由strace的指令查看目前各個應用程式使用的系統呼叫，進行逐步分析，了解每支處理程序開啟的檔案與檔案所在位置，或是連接的網址，有了這些資訊，攻擊者能夠考量惡意軟體酬載適合置入的方式與途徑，找到能夠偷偷夾帶或呼叫的管道，然後再將這些內容放到指定位置、伺機而動。

國家級駭客手法更專精、能組合多個弱點，又能自動打擊，令人防不勝防

關於臺灣軟體供應商之所以無法擋住國家級駭客攻擊，除了人力規模懸殊與具有強烈動機的落差，廖長健認為有三個因素必須克服。首先，國家級駭客滲透手法更為高超，而且是持續、專精投入研究攻擊目標的弱點；第二是不只是利用單一、嚴重度高的弱點，攻擊者也懂得將多個低風險漏洞組合起來運用，形成具有高度危險的漏洞濫用手法；第三是打造工具，降低操作技術門檻之餘，駭客也能發動自動化攻擊，一口氣侵襲多個目標，營造「遍地開花」的現象，而非一步步滲透、投放惡意軟體、再進行後續的調度指揮，對於軟體供應商而言，如果產品資安沒有顧好，採用客戶越多，一旦遭遇這類攻擊，同時要處理的資安事件可能也會很多。

想要打造具有強大防護力的軟體產品，對於開發人員而言，有個先天的劣勢，那就是必須考量到運作效能而不能毫無限制地持續進行安全性處理。廖長健舉出的例子是JavaScript的過濾，為了避免遭到跨站指令碼的攻擊，軟體產品會過濾所有輸入的JavaScript，為了確保效能，會進行32次清洗，然而，對於攻擊者而言，當他們取得廠商的產品、建置使用環境之後，可以不厭其煩地循環測試，觀察究竟要過濾到多少次才停手，一旦他們找到這個處理上限，就可以設計出33層的惡意酬載，應付完32次指令碼過濾，下一次就能引發跨站指令碼攻擊，設法溜進軟體產品。

至於組合多個漏洞的做法，廖長健提到的一種模式，是設法讓輸入夾帶的惡意酬載躲過第一道檢查，而順利進到內部儲存的設定檔，而且攻擊者知道檔案存放位置，當另一支程式載入這個設定檔時，開發人員可能以為這是內部資料而疏於檢查，執行之後觸發惡意酬載要做的事情、拿到系統權限，甚至形成命令注入攻擊（command injection）。

基於上述提及的軟體產品資安態勢，廖長健認為，作為防禦方，要有三個基本的前提。首先，攻擊者已有產品完整實驗環境，也就是前面提到，可透過合法管道、冒名欺瞞等方式，下載測試版。第二，攻擊者可以輕易找到目標伺服器，如果有鎖定的對象，對方要掌握這些IT基礎架構的所在位置，並不困難。

第三，攻擊者已有目標環境的使用者帳號。由於在不同線上服務與系統使用重複密碼的情形相當普遍，再加上網站資料外洩事件頻傳，以及在公共場所上網卻沒用VPN防護等情況，導致帳密被側錄，駭客都有能力取得這些帳密，廖長健表示，我們要假設當攻擊者手上有使用者帳密的時候，產品資安還能防得住。