بیش از 60.000 سرور Microsoft Exchange آنلاین، هنوز وصله ای بابت آسیب پذیری CVE-2022-41082 نصب نکرده اند! این حفره امنیتی ، یک آسیب پذیری اجرای کد از راه دور(RCE) و یکی از دو آسیب پذیری امنیتی که در بهره برداری ProxyNotShell استفاده می شوند، است.
طبق صحبتهای محققین امنیتی در Shadowserver Fandation ، مشخص شده است که با توجه به اطلاعات، ورژن حدود 70.000 سرور Microsoft Exchange در برابر حملات ProxyNotShell آسیب پذیر بوده اند.
در نهایتا با اطلاعات جدید به دست آمده تعداد سرورهای آسیب پذیر Exchange از 86.946 در اواسط دسامبر به 60.865 مورد تا دوم ژانویه رسیده است.
این دو باگ امنیتی، با شماره شناسایی های CVE-2022-41082 و CVE-2022-41040 با عنوان ProxyNotShell شناخته شده و بر روی سرورهای Exchange 2013، 2016 و 2019 اثر دارد.
در صورت بهره برداری موفق از آنها، مهاجم می تواند امتیازات خود در سیستم قربانی را افزایش داده و امکان اجرای کد دلخواه از راه دور در سرورهای در معرض خطر را به دست آورد.
مایکروسافت در به روز رسانی امنیتی ماه نوامبر 2022 این آسیب پذیری ها را رفع نموده است.
شرکت GreyNoise این بهره برداری را از 30 سپتامبر دنبال کرده و اطلاعات آن و لیست آدرس های IP تحت حمله را نیز ارائه کرد.
افراد بسیاری در معرض این حملات قرار گرفته اند.
به منظور حفاظت از خود در برابر این حملات، لازم است که حتما وصله های ProxyNotShell که در ماه نوامبر 2022 منتشر شده است را نصب کنید.
با اینکه مایکروسافت اقدامات و راهکار موقت و کاهشی برای این موضوع نیز اعلام کرده بود، اما آن راهکارها موقت بوده و امکان دور زدنشان توسط مهاجمین وجود دارد.
بر طبق گزارشات امنیتی، مهاجمان باج افزاری از زنجیره جدیدی برای دور زدن اقدامات کاهشی و بازنویسی آدرس ProxyNotShell استفاده کرده و امکان اجرای کد از راه دور روی سرورهای آسیب پذیر از طریق Outlook Web Access را خواهند داشت.
موضوعی که وجود دارد این است که هنوز هزاران سرور در سراسر جهان در برابر آسیب پذیری های ProxyNotShell و ProxyLogon وصله نشده اند در حالیکه این دو جزو آسیب پذیری هایی بودن که در سال 2021 نیز بیشترین بهره برداری از آنها صورت گرفته است!!!
سرورهای Exchange اهداف ارزشمندی محسوب می شوند و گروه مجرمان سایبری FIN7 یک پلتفرم برای سرقت اطلاعات از این سرورها طراحی کرده اند. طبق گزارشی از Prodaft که آن را کشف نموده است، نشان داده شده است که این پلتفرم سرورها را اسکن کرده و از سرورهایExchange دارای آسیب پذیری بهره برداری می کنند. این گروه مجرمان سایبری با استفاده از این پلتفرم به حدود 8147 شرکت و سازمان نفوذ کرده اند.
اخیرا نیز گروه باج افزاری Play از این آسیب پذیری ها برای دور زدن اقدامات کاهشی و راهکار موقت ProxyNotShell در حملات خود به سرورهای ایمیلی استفاده نموده اند. با توجه به اینکه مایکروسافت وصله های مربوط به این آسیب پذیری ها را رفع نموده است، نصب این وصله ها تنها راه حل بوده و بهتر است که از اقدامات کاهشی و راهکارهای موقت استفاده نکنید.
منبع: https://www.bleepingcomputer.com