超过 60,000 台在线暴露的 Microsoft Exchange 服务器尚未针对 CVE-2022-41082 远程代码执行 (RCE) 漏洞进行修补,这是 ProxyNotShell 攻击针对的两个安全漏洞之一。
根据致力于提高互联网安全的非营利组织 Shadowserver Foundation 的安全研究人员最近发布的一条推文,根据版本信息(服务器的 x_owa_version 标头),发现近 70,000 台 Microsoft Exchange 服务器容易受到 ProxyNotShell 攻击。
然而,周一发布的新数据显示,易受攻击的 Exchange 服务器数量已从 12 月中旬的 83,946 个实例减少到 1 月 2 日检测到的 60,865 个实例。
这两个安全漏洞被跟踪为CVE-2022-41082和CVE-2022-41040,统称为 ProxyNotShell,影响 Exchange Server 2013、2016 和 2019。
如果成功利用,攻击者可以提升权限并在受感染的服务器上获得任意或远程代码执行。
尽管至少从 2022 年 9 月开始就在野外检测到 ProxyNotShell 攻击,但微软在2022 年 11 月补丁星期二期间发布了安全更新以解决这些缺陷。
自 9 月 30 日以来,威胁情报公司 GreyNoise 一直在跟踪正在进行的 ProxyNotShell 攻击,并提供有关ProxyNotShell 扫描活动的信息以及与攻击相关的 IP 地址列表。
数千人还遭受 ProxyShell 和 ProxyLogon 攻击
为了保护您的 Exchange 服务器免受传入攻击,您必须应用 Microsoft在 11 月发布的 ProxyNotShell 补丁。
虽然该公司还提供了缓解措施,但攻击者可以绕过这些措施,这意味着只有完全修补的服务器才能免受危害。
正如28u.cc上个月报道的那样,Play 勒索软件威胁参与者现在正在使用新的利用链来绕过ProxyNotShell URL 重写缓解措施,并通过 Outlook Web Access (OWA) 在易受攻击的服务器上远程执行代码。
更糟糕的是, Shodan 搜索显示大量 Exchange 服务器在线暴露,还有数千个未修补 ProxyShell 和 ProxyLogon 漏洞,这些漏洞使其成为2021 年最常被利用的漏洞。
Exchange 服务器是有价值的目标,正如出于经济动机的 FIN7 网络犯罪集团所证明的那样,该集团开发了一种名为 Checkmarks 的自定义自动攻击平台,旨在破坏 Exchange 服务器。
据发现该平台的威胁情报公司 Prodaft 称,它会扫描并利用各种 Microsoft Exchange 远程代码执行和权限提升漏洞,例如 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207。
在扫描了超过 180 万个目标后,FIN7 的新平台已被用于渗透主要位于美国 (16.7%) 的 8,147 家公司。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » ProxyNotShell攻击超过60000台的Exchange服务器
