ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), "Acil" olarak etiketlenen ilk uyarıyı "acil" olarak etiketledi.
"Kötü niyetli siber aktörler, aşağıdaki proxyshell güvenlik açıklarını aktif olarak kullanıyor: CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207," Hafta sonu uyardı.
"CISA, örgütleri şiddetle ağlarındaki hassas sistemleri tanımlamaya ve hemen Microsoft'un güvenlik güncelleştirmesini hemen uygular ve bu saldırılara karşı korumak için üç proxyshell güvenlik açıklığını tamamlar."
Bu üç güvenlik kusurları (Nisan ve Mayıs ayında yamalı), Nisan ayının PWN2OWN 2021 Hack Yarışması'nda bir Microsoft Exchange Server'ı ödün vermek için kullanan Devcore Security Araştırmacı Orange Tsai tarafından keşfedildi:
Bu uyarı, organizasyonları, ağlarını Mart ayında dünya çapında on binlerce kuruluşa vuran saldırılardan koruyacak şekilde, proxylogon olarak bilinen dört sıfır günü Microsoft Exchange hatası hedefleyen saldırılarla ağlarını uyandırır.
Microsoft, 2021 yıllarında Proxyshell hatalarını tamamen yamalama rağmen, Temmuz ayına kadar üç güvenlik açıklaması için CVE ID'leri atamadılar, böylece sunucuları ağlarındaki savunmasız sistemler olduğunu keşfettiklerini keşfettiği bazı kuruluşları önler.
Ek teknik detaylar son zamanlarda açıklandıktan sonra, hem güvenlik araştırmacıları hem de tehdit aktörleri, çalışan bir proxyshell istismarını yeniden üretebilir.
Öyleyse, Mart ayında olduğu gibi, saldırganlar Proxyshell güvenlik açıklarını kullanarak Microsoft Exchange sunucularını taramaya başladı.
Gönderilmemiş Exchange sunucularını ihlal ettikten sonra, tehdit aktörleri, kötü amaçlı araçlar yüklemelerini ve yürütmelerini sağlayan web kabuklarını düşürür.
Başlangıçta, yükler zararsız olsa da, saldırganlar, Windows Etki Alanları'da yayınlanan LockFile Ransomware yüklerini, Windows PetitPotam istismarlarını kullanarak tehlikeye atarak dağıtılıyor.
Şimdiye kadar, ABD tabanlı güvenlik firması Huntris Labs, 1,900'den fazla ödün vermeyen Microsoft Exchange sunucusundaki saldırganlar tarafından konuşlandırılan 140'dan fazla web kabuğunun bulunduğunu söyledi.
Shodan ayrıca, çoğu ABD ve Almanya'da bulunan Proxyshell Exploits kullanan saldırılara açık binlerce değişim sunucunun izlemesini izlemektedir.
Exchange sunucularının% 18'inden fazlası, proxyshell güvenlik açığı için açılmamış. Neredeyse% 40, CVE-2021-31206'ya karşı savunmasızdır: https://t.co/7yetz9gojw pic.twitter.com/0r2aoqsibb
"Microsoft Exchange Server sömürüsündeki yeni dalgalanma," NSA Cybersecurity Director Rob Joyce, hafta sonu da uyardı. "Bir örneği barındırıyorsanız, yamalı ve izlemenizi sağlamalısınız."
NSA ayrıca savunucuları, bu hafta sonu, Mart ayında yayınlanan rehberliğin web kabukları için avlanma konusunda hala bu devam eden saldırılar için geçerli olduğunu hatırlattı.
ProxyShell'e karşı yamalanma ihtiyacı olan Microsoft Exchange sunucularının nasıl tanımlanacağı ve güvenlik araştırması Kevin Beaumont tarafından yayınlanan blog yazımında yararlanma girişimlerinde nasıl tespit edileceğine dair detaylı bilgi.
Microsoft Exchange Sunucuları Yeni LockFile Ransomware tarafından hacklendi
CISA, Ransomware Veri İhlallerinin Nasıl Önleneceğine İlişkin Rehberliği Paylaşır
Microsoft Exchange Sunucuları Proxyshell Exploits üzerinden hackleniyor
Microsoft Exchange Sunucuları Proxyshell Güvenlik Açığı için Taranan, Şimdi Yama
CISA, Microsoft, Google, Amazon ile Fightware ile savaşmak için takımlar
Kaynak: Bleeping Computer