Ifølge en advarsel frigivet af U.S.. Cybersecurity and Infrastructure Security Agency (CISA), cyberkriminelle udnytter i øjeblikket de såkaldte ProxyShell Microsoft Exchange-sårbarheder: CVE-2021-34473, CVE-2021-34523, og CVE-2021-31207.
CISA advarer mod ProxyShell -angreb
Den bureauets stærke råd er til for organisationer at identificere sårbare systemer på deres netværk og lappe dem via Microsofts sikkerhedsopdatering fra Maj 2021.
Opdateringen retter alle tre ProxyShell -fejl og beskytter mod angrebene. Hvis sårbare systemer forbliver upatchede, trusselsaktører kunne udnytte fejlene til at udføre vilkårlig kodeudførelse.
Sårbarhederne blev demonstreret tidligere på året under Pwn2Own -hackingkonkurrencen. Faktisk, ProxyShell -udnyttelsen er en del af en mere omfattende kæde bestående af ProxyLogon og ProxyOracle -exploits.
Sårbarheder i ProxyLogon
ProxyLogon -sårbarheder omfatte CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065. Berørte versioner inkluderer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, og Microsoft Exchange Server 2019.
At blive igangsat med succes, et angreb kræver en upålidelig forbindelse til en bestemt Exchange-serverport, 443. Dette smuthul kan beskyttes ved at begrænse utroforbindelse, eller ved at oprette en VPN til at adskille serveren fra ekstern adgang. Men, disse afbødningstricks tilbyder kun delvis beskyttelse. Sikkerhedsforskere advarer om, at andre dele af kædeangrebet kan udløses, hvis en angriber allerede har adgang eller kan overbevise en administrator om at køre en ondsindet fil.
ProxyOracle -udnyttelsen
“Sammenlignet med ProxyLogon, ProxyOracle er en interessant udnyttelse med en anden tilgang. Ved blot at få en bruger til at besøge et ondsindet link, ProxyOracle giver en hacker mulighed for at gendanne brugerens adgangskode i almindeligt tekstformat fuldstændigt,”Sikkerhedsforsker Orange Tsai skrev et par måneder siden. ProxyOracle består af to fejl: CVE-2021-31195 og CVE-2021-31196.
Med hensyn til de aktuelle angreb baseret på ProxyShell -udnyttelsen, etisk hacker Kevin Hanslovan for nylig tweetede, at han “har set 140+ webshells på tværs 1900+ umatchede kasser om 48 timer. Berørte organisationer omfatter hidtil bygning af fabrikker, skaldyrsforarbejdere, industrimaskiner, autoværksteder, en lille villalufthavn og mere.” For at gentage CISAs presserende råd, organisationer bør identificere sårbare netværk for at undgå disse angreb.