بررسیها نشان میدهد که مهاجمان در حال پویش سرورهای Exchange آسیبپذیر به ProxyShell هستند.
به گزارش مرکز مدیریت راهبردی افتا، این پویشها در حالی انجام میشود که برخی جزئیات فنی آسیبپذیریهای ProxyShell در جریان کنفرانس Black Hat ارائه شد.
ProxyShell عنوانی است که به مجموعه سه آسیبپذیری زیر اطلاق میشود:
زنجیره آسیبپذیریهای ProxyShell، از راه دور و از طریق Client Access Service (بهاختصار CAS) در Microsoft Exchange بدون نیاز به هرگونه احرازهویت بر روی پورت ۴۴۳ در IIS صورت میگیرد. پس از اکسپلویت آسیبپذیری، مهاجم دسترسی اجرای کد از راه دور را بر روی Microsoft Exchange بدستمیآورد.
محقق کاشف ProxyShell، در ۱۴ مرداد و در جریان کنفرانس Black Hat اقدام به ارائه اطلاعاتی در مورد نحوه کشف آن کرد. در بخشی از این ارائه، اشاره شد که هدف یکی از مولفههای زنجیره حمله ProxyShell، سرویس Autodiscover در Exchange است. Autodiscover سازوکاری است که از سوی مایکروسافت بهمنظور تسهیل پیکربندی خودکار نرمافزارهای مدیریت ایمیل با حداقل دخالت کاربر معرفی شده است.
پس از این سخنرانی، دو محقق دیگر با انتشار مقاله فنی زیر، به معرفی روشهایی برای اکسپلویت ProxyShell پرداختند:
https://peterjson.medium.com/reproducing-the-proxyshell-pwn۲own-exploit-۴۹۷۴۳a۴ea۹a۱
پیشتر نیز برخی کارشناسان گزارش کرده بودند که مهاجمان با روشهایی در تلاش هستند تا با سوءاستفاده از Autodiscover، سرورهای آسیبپذیر به ProxyShell را شناسایی کنند. درحالیکه تلاشهای اولیه مهاجمان موفق نبود، به نظر میرسد با انتشار جزئیات فنی بیشتر در روزهای گذشته، اکنون مهاجمان با الگوهایی جدید در حال کشف سرورهای آسیبپذیر هستند
سرورهای Exchange در بسیاری مواقع هدف مهاجمان با انگیزههای مختلف قرار داشتهاند. از جمله میتوان به اجرای حملات سایبری و انتشار چندین بدافزار مخرب از طریق سوءاستفاده از آسیبپذیری ProxyLogon در این سرورها اشاره کرد.
نظر به وصله شدن ضعفهای امنیتی ProxyShell از سوی مایکروسافت و باتوجه به تلاش مهاجمان در شناسایی سرورهای آسیبپذیر، کارشناسان امنیتی مرکز مدیریت راهبردی افتا به کلیه راهبران Exchange توصیه کردهاند که دراسرعوقت نسبت به نصب آخرین بهروزرسانیهای Cumulative Update اقدام کنند.
اسلایدهای ارائه شده در خصوص ProxyShell در کنفرانس Black Hat نیز در لینک زیر قابل دریافت است:
منبع:
دیدگاه شما