俄罗斯APT利用SNMP漏洞攻击关基设施:邮件安全网关防护策略

2026-07-17 10:02:00

上海辰童科技有限公司

摘要:2026年7月,英国国家网络安全中心(NCSC)联合美国、澳大利亚、加拿大等12国18家安全机构发布联合安全告警,指出来自俄罗斯联邦安全局(FSB)Centre 16的网络间谍组织正在大规模扫描全球互联网上配置不当的SNMP服务,利用默认/弱SNMP community字符串入侵路由器及网络设备,将目标锁定在通信、能源、金融、政府及医疗等关键信息基础设施(CNI)领域。这一攻击路径对邮件系统的底层网络基础设施构成严重威胁——邮件安全网关、邮件服务器所在的网络边界若采用脆弱SNMP配置,将直接面临被攻陷后流量劫持、邮件窃听的风险。

攻击手法:从SNMP扫描到网络设备接管

根据NCSC发布的联合技术报告(TA-2026-07-16),FSB Centre 16(别名Berserk Bear / Energetic Bear / Dragonfly / Ghost Blizzard)的攻击链分为三个阶段。第一阶段是互联网大规模扫描:攻击者使用定制化SNMP扫描工具,探测所有暴露在公网的SNMP端口(UDP 161/162),尝试使用设备厂商默认的public/private community字符串以及常见弱口令组合进行认证。

第二阶段是横向渗透与持久化:一旦通过SNMP读/写权限获取设备控制权,攻击者便收集设备配置信息(包括路由表、ACL规则、VPN凭证)、修改或添加SNMP trap目标以窃取网络流量副本,并在受控设备中植入Web Shell或后门脚本。NCSC观察到Centre 16特别擅长利用Cisco Smart Install(SMI)协议的已知缺陷(CVE-2025-201XX系列)来加速入侵过程,这一手段曾在2025年针对乌克兰能源设施的APT攻击中被广泛验证。

第三阶段是数据外泄与间接攻击:通过控制核心路由器,攻击者能够执行中间人攻击(MITM),将特定流量(如SMTP/IMAP邮件通信流量)重定向至代理服务器进行内容嗅探和凭证捕获。NCSC指出,受感染的路由器还被用作跳板,对同一IP段内的邮件服务器和管理平台进行后续暴力破解攻击。

为什么邮件安全网关需要高度警惕

邮件安全网关作为企业邮件系统的第一道防线,通常部署在网络边界DMZ区,其底层依赖的路由交换设备及带外管理网络若采用SNMP v1/v2协议(明文传输community字符串)且未做访问控制,将成为整个邮件基础设施的薄弱环节。具体风险体现在以下三个层面:

第一,管理通道暴露风险。许多单位在邮件网关或邮件服务器网口上启用SNMP用于监控告警(CPU/内存/队列长度),却仍使用SNMP v2c默认community且未限制管理源IP。攻击者通过扫描发现此类设备后,可直接读取邮件系统的连接数、队列积压量等运行状态,推断业务负载窗口,为针对性钓鱼攻击提供情报。

第二,流量劫持链路风险。邮件服务器之间的SMTP MX路由、SPF/DKIM/DMARC验证过程均高度依赖底层网络路由的正确性。一旦核心路由器被攻陷,攻击者可操纵BGP路由或添加静态路由,将出站邮件流量引导至仿冒邮件网关进行中间人攻击,绕过邮件加密和身份认证机制。

第三,APT持久化后门风险。FSB Centre 16的攻击特点是高度耐心和隐蔽——被植入后门的网络设备可能数月甚至数年未被发现。在此期间,攻击者可以持续窃取所有穿越该设备的邮件元数据(发件人、收件人、时间戳、Subject行),构成长期情报搜集渠道。

18国联合建议:网络设备SNMP安全加固清单

NCSC联合报告给出了具体到操作层面的加固措施,以下是针对邮件系统所在网络环境的重点建议:

1. 全面升级至SNMP v3。立即禁用SNMP v1和v2c协议。SNMP v3提供加密认证(HMAC-SHA/MD5)和数据完整性校验,即使数据包被截获也无法解析。对于无法升级的旧设备,应在边界防火墙上严格限制SNMP协议仅允许内部监控系统IP访问。

2. 禁用不必要的SNMP服务。许多Cisco交换机、路由器默认运行Cisco Smart Install(SMI)协议,该协议在过去五年中已出现多个RCE漏洞(包括CVE-2024-20353等)。NCSC强烈建议在全局配置中关闭SMI服务:no vstack

3. 强化访问控制列表(ACL)。SNMP服务(UDP 161/162)应只对可信任的NMS(网络管理系统)IP开放。建议配置vty ACL和SNMP community ACL双重过滤,并确保管理网段与业务网段物理或逻辑隔离。

4. 启用日志审计与异常检测。所有网络设备的SNMP访问日志、配置变更日志应集中发送至SIEM系统。NCSC特别提醒关注以下告警特征:来自未知IP的SNMP bulk walk请求、非工作时段的大规模配置备份、SNMP trap目标的非授权添加。

5. 邮件网关专用安全措施。邮件安全网关设备应使用独立的带外管理网络,禁止将网关管理口暴露在生产网络中。邮件系统自身的管理接口(如Postfix/Qmail管理端口、Web管理控制台)应绑定在Loopback或独立管理VLAN上。

安全启示:从邮件安全视角看"纵深防御"

本次NCSC联合预警再次验证了网络安全领域的一个基本规律——邮件安全不能仅靠邮件产品本身的加密和过滤能力,底层网络基础设施的安全加固同样不可偏废。全球邮件系统普遍依赖的SMTP、IMAP、POP3协议在设计之初并未内置传输层加密(STARTTLS是后来附加的增强),这使得邮件通信天然对底层网络劫持敏感。一旦网络设备层被攻陷,即使邮件网关配置了完整的DKIM/DMARC策略,攻击者仍可绕过身份验证链实施邮件伪造和内容窃听。

从攻防博弈的角度看,FSB Centre 16选择SNMP作为突破口具有典型策略意义:SNMP协议在关基设施中长期处于"配置一次就遗忘"的状态,大量设备保留出厂默认community字符串长达数年未修改。NCSC这次将技术细节与修复措施同时公开的"全透明"策略,也是为了压缩攻击者利用信息不对称的时间窗口。

厂商与用户联合防御的行动窗口

值得注意的是,本次联合告警的签署方包括NCSC(英国)、CISA/FBI/NSA(美国)、ACSC(澳大利亚)、CCCS(加拿大)、NCSC-NL(荷兰)、NCSC(新西兰)、CERT-EU(欧盟)等18家机构,覆盖了全球主要民主国家的情报与网络安全体系。如此广泛的国际合作释放了一个明确信号:俄罗斯针对关基设施的网络间谍活动已经演变为需要全球协同应对的系统性威胁。

对于国内邮件系统的运营者而言,虽然NCSC的告警主要面向西方关基设施运营者,但攻击者使用的手法和技术路径具有普适性。国内大量使用Cisco、Huawei、H3C等品牌网络设备的单位同样面临SNMP v1/v2遗留问题。建议结合本次NCSC告警中的技术指标,对本单位邮件系统所在网络环境进行一次SNMP安全专项排查,重点检查:mail交换链路中的核心路由器和汇聚层交换机是否仍开放SNMP v2c、管理SNMP community是否为默认值、是否存在非受控的Cisco SMI服务。

参考来源:

  1. NCSC联合咨询报告:"UK and Allies urge critical sectors to improve defences against Russian intelligence targeting" (2026-07-16). https://www.ncsc.gov.uk/news/uk-and-allies-urge-critical-sectors-to-improve-defences-against-russian-intelligence-targeting
  2. NCSC技术附件(PDF):Centre 16 FSB Tactics, Techniques and Procedures. 下载PDF
  3. Krebs on Security:"Microsoft Patches a Record 570 Security Flaws" (2026-07-14). https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/
  4. ENISA Threat Landscape 2025 - Network Infrastructure Threats. https://www.enisa.europa.eu/topics/cyber-threats