MKD-CIRT National Centre for Computer Incident Response
Повеќе од 60.000 сервери на Microsoft Exchange допрва треба да се закрпат поради ранливоста на CVE-2022-41082 remote code execution (RCE), еден од двата безбедносни недостатоци таргетирани од експлоатите на ProxyNotShell.
Според неодамнешниот твит од безбедносните истражувачи на Shadowserver Foundation, непрофитна организација посветена на подобрување на безбедноста на интернет, речиси 70.000 сервери на Microsoft Exchange се ранливи на ProxyNotShell напади според информациите за верзијата (заглавие x_owa_version на серверите).
Сепак, новите податоци објавени во понеделник покажуваат дека бројот на ранливите сервери на Exchange е намален од 83.946 во средината на декември на 60.865 откриени на 2-ри јануари.
Овие две безбедносни грешки, CVE-2022-41082 и CVE-2022-41040 и колективно познати како ProxyNotShell, влијаат на Exchange Server 2013, 2016 и 2019.
Доколку успешно се експлоатираат, напаѓачите можат да ги ескалираат привилегиите и извршат произволно или remote code execution на компромитирани сервери.
Мајкрософт објави безбедносни надградби за да ги реши недостатоците за време на закрпата во ноември 2022 година, иако ProxyNotShell нападите беа откриени во септември 2022 година.
Threat intelligence компанијата GreyNoise ја следи тековната експлоатација на ProxyNotShell од 30 септември и обезбедува информации за активноста на скенирање на ProxyNotShell и листа на IP адреси поврзани со нападите.
За да ги заштитите вашите сервери на Exchange од напади, треба да ги примените ProxyNotShell закрпите објавени од страна на Microsoft во ноември.
Иако компанијата обезбеди и мерки за ублажување, тие можат да бидат избегнати од страна на напаѓачите, што значи дека само целосно закрпените сервери се безбедни од компромис.
Како што објави BleepingComputer минатиот месец, ransomware напаѓачите на Play сега користат нов синџир на експлоатација за да ги избегнат ублажувањата за препишување на URL-то на ProxyNotShell и извршат remote code execution на ранливите сервери преку Outlook Web Access (OWA).
За нештата да бидат уште полоши, пребарувањето на Shodan открива значителен број на Exchange сервери изложени на интернет, со илјадници оставени незакрпени поради пропустите на ProxyShell и ProxyLogon што го ставија во топ најексплоатирани пропусти во 2021 година.
Серверите за размена се вредни цели, како што покажа финансиски мотивираната група за сајбер криминал FIN7 која има развиено прилагодена платформа за автоматски напади позната како Checkmarks и дизајнирана да ги нарушува Exchange серверите.
Според threat intelligence компанијата Prodaft, која ја откри платформата, таа скенира и искористува различни пропусти за remote code execution на Microsoft Exchange и зголемување на привилегиите, како што се CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.
Новата платформа на FIN7 веќе е искористена за инфилтрирање во 8.147 компании, првенствено лоцирани во Соединетите држави (16,7%), по скенирање над 1,8 милиони цели.
Извор: BleepingComputer