On binlerce Microsoft Exchange sunucusu (yeni sekmede açılır) araştırmacılar, ProxyNotShell istismarlarında kullanılan yüksek önem dereceli bir kusura karşı hala savunmasız oldukları konusunda uyardı.
Siber güvenlik araştırmacıları Shadowserver Foundation, yaklaşık 70.000 IP’nin geçen yıl Kasım ayı başlarında yamalanan bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2022-41082’ye karşı savunmasız olduğunu söyledi.
Basın zamanında, Shadowserver’ın verileri en az 57.000 savunmasız IP gösteriyor, ancak bilgiler sonuçların “benzersiz IP’lerin sayılarının toplanmasıyla hesaplandığını, bunun da” benzersiz bir IP’nin birden fazla sayılmış olabileceği anlamına geldiğini” belirten bir sorumluluk reddi beyanıyla birlikte geliyor.
Azaltmalar ve yamalar
Shadowserver, “Herhangi bir rakam kesin değil gösterge olarak ele alınmalıdır,” dedi – ancak azalan rakamlar olumlu bir eğilimin göstergesi olabilir.
ProxyNotShell olarak adlandırılan iki yüksek önem dereceli güvenlik açığı vardır – yukarıda bahsedilen CVE-2022-41082 ve yine Kasım ayı başlarında yamalanan bir ayrıcalık yükselmesi kusuru olan CVE-2022-41040. Etkilenen uç noktalar arasında Exchange Server 2013, 2016 ve 2019 yer alır.
Hafifletmeler mevcut olsa da, araştırmacılar BT uzmanlarını bunun yerine yamayı uygulamaya çağırıyor çünkü hafifletmeler üzerinde çalışılabilir. gelen bir rapor BleepingBilgisayar fidye yazılımı operatörlerinin, belirli ProxyNotShell azaltmalarını atlamak ve hedef cihazlarda uzaktan kötü amaçlı kod yürütmek için yeni keşfedilen bir yararlanma zincirini kullandığını gördü.
Exchange sunucuları bilgisayar korsanları için değerlidir ve bu nedenle genellikle hedef alınır. Örneğin, kötü şöhretli LockBit grubu kısa süre önce güvenliği ihlal edilmiş Exchange Sunucuları aracılığıyla kötü amaçlı yazılım dağıtırken yakalandı. Geçen yaz, bir şirkete ait iki sunucuya LockBit 3.0 bulaştı. Rapora göre, saldırganlar önce web kabuğunu dağıttı, ardından bir hafta sonra ayrıcalıkları Active Directory yöneticisine yükseltti, yaklaşık 1,3 TB veri ve ağda barındırılan şifreli sistemleri çaldı.
Geçen yılın sonlarında araştırmacılar, Microsoft Exchange’de zaten düzeltilmiş olan ProxyShell güvenlik açığından da yararlanmaya çalışan kötü niyetli bir kampanya ortaya çıkardı.
Yolu ile: BleepingBilgisayar (yeni sekmede açılır)