CISA警告:黑客正在积极开采ProxyShell漏洞

美国网络安全及基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)上周警告,黑客正在积极开采位于Microsoft Exchange的ProxyShell漏洞,呼吁各大组织应尽快修补。

ProxyShell实际上是由3个漏洞所串联,分别是微软于4月修补的CVE-2021-34473与CVE-2021-34523,以及5月修补的CVE-2021-31207,值得注意的是,其中的CVE-2021-34473与CVE-2021-34523虽在4月就修补,但微软一直到7月才分配CVE编号给它们,可能会让许多根据CVE编号进行修补的管理人员,忽略这两个漏洞。

这3个漏洞是由台湾安全企业戴夫寇尔(Devcore)所披露,分别属于远程程序攻击漏洞、权限扩张漏洞与安全功能绕过漏洞,它们同时影响Microsoft Exchange Server 2013、2016与2019,串联这些漏洞将允许黑客于系统上执行任意程序。

在戴夫寇尔首席研究人员蔡政达(Orange Tsai)于8月初举行的黑帽大会上,展示了ProxyShell漏洞之后,黑客即开始扫描网络上含有相关漏洞的系统,包括研究人员与黑客也都着手打造针对ProxyShell的攻击程序。

安全研究人员Kevin Beaumont指出,ProxyShell漏洞比ProxyLogon漏洞更严重,因为ProxyShell更容易开采,而且很多组织基本上并未修补。

不管是Beaumont自己设置的诱捕系统或是安全企业赛门铁克,都已发现黑客正利用ProxyShell漏洞来部署勒索软件LockFile,且根据赛门铁克的观察,7月才看到的LockFile,到了今年8月下旬就已感染全球至少10家组织。

安全企业Huntress则通过Reddit警告,已于未修补的Microsoft Exchange服务器增至到5种不同功能的恶意Web Shell,且在8月22日时,网络上至少还有1,764台尚未修补ProxyShell漏洞的Exchange服务器。

此外,截至8月22日,Huntress已于短短的4天内,看到164台Exchange服务器被成功入侵。

总之,ProxyShell漏洞现阶段显然已成为黑客的游乐园,尽快修补才是上策。

发表评论