安全公告编号:CNTA-2019-0020

2019年5月22日，国家信息安全漏洞共享平台（CNVD）收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统配置信息泄露漏洞（CNVD-2019-16798）。攻击者利用该漏洞，可在未授权的情况下获取敏感配置文件信息。目前，漏洞相关细节和验证代码已公开，厂商已发布补丁进行修复。

一、漏洞情况分析

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统，客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位，在我国境内应用较为广泛。

2019年5月22日，国家信息安全漏洞共享平台（CNVD）收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞（CNVD-2019-16798）。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷，使得攻击者利用该漏洞，在未授权的情况下，通过远程访问URL地址获知Coremail服务器的系统配置文件，造成数据库连接参数等系统敏感配置信息泄露。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞的影响版本如下：

Coremail XT 3.0.1至XT 5.0.9版本，XT 5.0.9a及以上版本已修复该漏洞。

CNVD秘书处对Coremail服务在我国境内的分布情况进行统计，结果显示我国境内的Coremail服务器数量约为3.7万（根据IP端口统计）。

综合CNVD技术支撑单位报送、白帽子报送、CNVD秘书处主动探测的结果显示，我国境内共有1484台服务器受此漏洞影响，影响比例约为4.0%。按受影响行业进行统计，高校占比较高。我平台已将探测结果与论客公司共享，协助其开展用户侧修复相关工作。

三、漏洞处置建议

目前，论客公司已发布补丁进行修复，针对Coremail XT5和Coremail XT3/CM5版本，补丁编号为CMXT5-2019-0002，程序版本号1.1.0-alpha build20190524(3813d273)。如已安装的程序包的版本号日期早于20190524，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。如有疑问，也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。

临时修补方法如下：

1、在不影响使用的情况下，仅允许VPN连接后才可访问；

2、在Web服务器（nginx/apache）上限制外网对 /mailsms 路径的访问。

建议使用Coremail构建邮件服务器的信息系统运营者立即自查，发现存在漏洞后及时修复。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

上半月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）HTTP协议违背事件：共拦截32006次；

2）HTTP访问控制：共拦截20681次。

3）敏感信息过滤：共拦截15630次；

4）COOKIE篡改：共拦截10051次；

5）爬虫事件：共拦截9536次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，06月份上半月共拉黑地址27个。

三、上半月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月境内感染网络病毒的主机数量约为41.9万个。

上半月 CNCERT 监测发现境内被篡改网站数量为8817个； 境内被植入后门的网站数量为7726个；针对境内网站的仿冒页面数量为10998个。

四、建议防范措施

根据我校06月份上半月整体网络与信息安全情况及外部网络威胁情况，应做到以下几点：

1、对于校内资源尽量使用VPN进行访问，减少对外开发的信息系统数量

2、个人电脑要设置开机密码，离开时养成随手锁屏的习惯