Según una alerta emitida por EE. UU.. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Los ciberdelincuentes están explotando actualmente las denominadas vulnerabilidades de ProxyShell Microsoft Exchange.: CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207.
CISA advierte contra ataques ProxyShell
El el fuerte consejo de la agencia es para que las organizaciones identifiquen sistemas vulnerables en sus redes y los parcheen a través de la Actualización de seguridad de Microsoft de Mayo 2021.
La actualización corrige los tres defectos de ProxyShell y protege contra los ataques.. Si los sistemas vulnerables permanecen sin parchear, los actores de amenazas podrían explotar las fallas para realizar la ejecución de código arbitrario.
Las vulnerabilidades se demostraron a principios de este año durante el concurso de piratería Pwn2Own.. De hecho, el exploit ProxyShell es parte de una cadena más extensa que consta de exploits ProxyLogon y ProxyOracle.
Las vulnerabilidades de ProxyLogon
Las vulnerabilidades de ProxyLogon incluir CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. Las versiones afectadas incluyen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, y Microsoft Exchange Server 2019.
Para ser iniciado con éxito, un ataque requiere una conexión no confiable a un puerto de servidor Exchange específico, 443. Esta laguna se puede proteger restringiendo la conexión que no es de confianza, o configurando una VPN para separar el servidor del acceso externo. Sin embargo, estos trucos de mitigación solo ofrecen protección parcial. Los investigadores de seguridad advierten que otras partes del ataque en cadena pueden desencadenarse si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malicioso..
El exploit ProxyOracle
"En comparación con ProxyLogon, ProxyOracle es un exploit interesante con un enfoque diferente. Simplemente guiando a un usuario a visitar un enlace malicioso, ProxyOracle permite a un atacante recuperar la contraseña del usuario en formato de texto sin formato por completo,”Investigador de seguridad Orange Tsai escribió Hace un par de meses. ProxyOracle consta de dos errores: CVE-2021-31195 y CVE-2021-31196.
En términos de los ataques actuales basados en el exploit ProxyShell, hacker ético Kevin Hanslovan recientemente tuiteó que él “ha visto 140+ webshells a través de 1900+ cajas sin parchear en 48 horas. Las organizaciones afectadas hasta el momento incluyen la creación de mfgs, procesadores de mariscos, maquinaria industrial, talleres de reparación de automóviles, un pequeño aeropuerto residencial y más.” Repetir el consejo urgente de CISA, Las organizaciones deben identificar las redes vulnerables para evitar estos ataques..