Viðvörun vegna ProxyShell

13. ágúst 2021

Sýnt hefur verið fram á að hægt er að misnota nýlega veikleika í Exchange (sjá [1], [2] og [3]) til að brjótast inn á Microsoft Exchange pośtþjóna. 
Upplýst var um veikleikana í maí og júlí síðastliðnum sem hafa CVSS skor 5.8, 9.1 og 9.0. 

Rannsakandinn Orange Tsai (@orange_8361) hefur birt tilkynningu (sjá [4]) um nýjar aðferðir sem ganga undir nafninu "ProxyShell" sem nota þessa veikleika. Orange er sami rannsakandinn og upphaflega fann þá veikleika sem hafa verið tengdir við ProxyLogon og árásarhópinn HAFNIUM. Í sömu grein ([4]) ýjar hann að því að fleiri veikleikar eigi eftir að koma fram í Microsoft Exchange.

Tölvuþrjótar eru virkir í að skanna eftir Microsoft Exchange þjónum sem eru háðir veikleikunum  (sjá [5] og [6]) og að koma fyrir bakdyrum til að misnota síðar (sjá [7]). 

Samkvæmt frétt Tenable ([5]) var CVE-2021-34473 upphaflega merkt sem ólíklegt til misnotkunar (e. Exploitation Less Likely) en hefur nýlega verið endurmerkt sem líklegt til misnotkunar (e. Exploitation More Likely). 

Hægt að fara á https://shodan.io og skoða með einföldum hætti hvaða CVE Shodan hefur fundið fyrir ákveðna netþjóna og ip vistföng. Greining byggt á Shodan þarf að taka með fyrirvara þar sem um falskar viðvaranir getur verið að ræða. Einnig hefur rannsakandinn Kevin Beaumont (@GossiTheDog) skrifað nmap plugin sem að sögn greinir hvort exchange þjónn sé háður veikleikanum, sjá [8]. CERT-IS tekur enga ábyrgð á notkun slíkra forrita. 

CERT-IS mælir með að allir aðilar sem bera ábyrgð á rekstri Microsoft Exchange netþjóna uppfæri þá án tafar. Einnig er bent á mikilvægi þess að haft sé samband við þjónustuaðila ef um er að ræða úthýsta þjónustu, þar sem ekki er sjálfgefið að rekstur innifeli uppfærslur. Einnig er mælst til þess að kanna hvort veikleikinn hafi verið misnotaður. 


Vísar: 
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
[4] https://blog.orange.tw/2021/08/proxylogon-a-new-attack-surface-on-ms-exchange-part-1.html
[5] https://www.tenable.com/blog/proxyshell-attackers-actively-scanning-for-vulnerable-microsoft-exchange-servers-cve-2021-34473
[6] https://isc.sans.edu/forums/diary/ProxyShell+how+many+Exchange+servers+are+affected+and+where+are+they/27732/
[7] https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/
[8] https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange-proxyshell.nse


Fréttin var fyrst birt 10. ágúst. 
Fréttin var uppfærð 13. ágúst. 

Til baka