概述
在 2025 年 4 月 14 日UTC 时间 15:54,报告显示出用户收到来自 sophos.com 域名的垃圾邮件。一小时内,Sophos 内部侦测与响应团队已获悉该情况并开始调查这报告。
调查发现,试用账户被用来利用 Sophos Email 在验证发件人是否有权限通过云邮件服务中继时,所存在的逻辑缺陷。
我们的团队立即采取行动,包括封锁涉及滥用的账户和 IP,并调查攻击者如何绕过该验证政策。
调查结果表明,限制客户账户只能从他们控制的域名发送邮件的逻辑不够严格。为防止此类滥用再次发生,已实施了永久性解决方案。此外,还对试用账户施加限制,以防止未经验证的账户再次尝试寻找缺陷。
影响
攻击者通过 Sophos 网关发送了大约 190 万封非恶意垃圾邮件。滥用行为主要使用了 info [AT] sophos [DOT] com 和 news [AT] sophos [DOT] com 作为发件地址,但也包括了 30 封冒充 12 个 Sophos Email 客户域名的邮件。所有受影响的客户已获 Sophos Support 通知。
时间线
时间 | 事件 |
2025 年 4 月 2 日 | 攻击行为者 (TA) 创建首个试用账户,以设法绕过旨在防止域名冒充的外发过滤政策。 |
2025 年4 月 13 日 18:00 UTC | 攻击行为者开始通过 Sophos Email 网关发送大量邮件。 |
2025 年4 月 14 日 15:54 UTC | Reddit 用户 /u/jegraves 发布第一个帖子,对来自 info [AT] sophos [DOT] com 的垃圾邮件表示困惑。 |
2025 年4 月 14 日 16:52 UTC | Sophos 内部侦测与响应团队 (IDR) 获悉该帖子,并开始分流处理事件。 |
2025 年4 月 14 日 17:05 UTC | Sophos IDR与关键相关方展开调查。 |
2025 年4 月 14 日 19:07 UTC | Sophos 阻止了从垃圾邮件活动连接的域名。 |
2025 年4 月 15 日 06:00 UTC | 推送更改到生产环境,以防止 sophos.com 域名遭到伪造。 |
2025 年4 月 15 日 16:33 UTC | 在 Sophos Email 中阻止所有与滥用行为相关的 IP 地址和电子邮件地址。 |
2025 年4 月 17 日 11:51 UTC | 停用所有与垃圾邮件活动相关的试用账户。 |
2025 年4 月 19 日 04:59 UTC | 修改政策以防止未来的试用账户发送未经合作伙伴或经销商管理的外发邮件。 |
分析
出于显而易见的原因,Sophos Email 必须仔细审查所有提交作外发中继的邮件的来源,以防止滥用。在服务推出时,系统只有在信封发件人(或如果为 NULL,则为 From header)和 IP 地址都属于与域名关联的客户时,才会中继邮件。这导致转发邮件时出现问题,例如日历邀请未符合标准,导致被拒绝。
2019 年,系统对这逻辑进行了调整,以把 Sender header,信封发件人和 From header 都纳入考虑。这将允许接收到来自 example.org 的外部日历邀请的用户,将其转发给 example.com 的朋友,只要 Sender header 属于该客户,即使 From header 来自客户外部的域名。
该漏洞为犯罪分子提供了滥用的机会。恶意发件人可以注册试用账户,发送一封信封发件人为 NULL (空白) 的邮件;其中,Sender header 是试用账户域名的电子邮件地址,而 From 地址则是由其他 Sophos Email 客户管理的域名,主要是 sophos.com。
虽然攻击者首次在 2025 年 4 月 2 日注册了试用账户,但他们最初似乎只是进行了一些实验。直到 2025 年 4 月 12 日,垃圾邮件活动才开始正式进行,滥用行为持续不到两天。
解决方案
即时措施
2025 年 4 月 15 日,我们立即采取了措施,封锁了与滥用者相关的域名和 IP 地址,并禁用了 24 个与垃圾邮件活动相关的账户。
为解决这一问题,2025 年 4 月 16 日实施了主要的逻辑更改,强化了 2019 年以来的政策以变得更为严格。现在,当信封发件人为 NULL 时,Sophos Email 会要求 From header 的域名与 Sender header 属于同一客户。这一更改既满足了先前的日历使用案例,同时防止客户冒充其他 Sophos Email 管理的域名。
2025 年 4 月 18 日,我们实施第3次更改,以禁止试用账户发送外发邮件,以减少日后的滥用。这更改适用于所有日后创建的试用账户,除非是由 Sophos 合作伙伴创建的。
Sophos 感谢 /u/jegraves 提出此问题,并已通过 bug bounty program 漏洞奖励计划给予奖励。
长期措施
提高对来自 Sophos Email 试用账户的可疑活动的侦测能力。大多数恶意活动通常在账户创建后的短时间内发生,这是分析账户行为并采取更主动的防范措施的适当时机。
其他措施
客户可能希望删除 2025 年 4 月 13 日至 4 月 16 日期间收到的来自 info [AT] sophos [DOT] com 和 news [AT] sophos [DOT] com 的垃圾邮件或可疑邮件。
如果您有任何问题或需要与这事件相关的帮助,请通过以下方式联系 Sophos Support。
- 提交支持请求:登录 Support Portal,点击 Help (帮助) -> Create Support Ticket (创建支持工单)
- MDR 客户:请通过您的 MDR 仪表板或直接联系指定的 Sophos 威胁响应联系人。