Всего за два дня через ProxyShell было взломано 2 тыс. установок Microsoft Exchange
24/08/21
Всего за два дня хакеры взломали порядка 2 тыс. почтовых серверов Microsoft Exchange и установили на них бэкдоры через неисправленные уязвимости ProxyShell.
Атаки, зафиксированные ИБ-компанией Huntress Labs, начались после публикации PoC-эксплоита ранее в этом месяце. Две недели назад участились сканирования Сети в поисках уязвимых серверов.
Уязвимости ProxyShell:
CVE-2021-34473 – обход списка обхода доступа (Access Control List, ACL Bypass). Позволяет неавторизованному атакующему удаленно выполнить код на уязвимой системе. Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-34523 – повышение привилегий в Exchange PowerShell Backend. Позволяет авторизованному атакующему выполнить произвольный код. Исправлена в апреле 2021 года в обновлении KB5001779;
CVE-2021-31207 – удаленное выполнение кода. Авторизованный злоумышленник может выполнить произвольный код в контексте системы и записывать произвольные файлы. Исправлена в мае 2021 года в обновлении KB5003435.
Несмотря на наличие исправлений для описанных выше уязвимостей, системные администраторы, похоже, не спешат их устанавливать. По результатам сканирования, проведенного ISC SANS 8 августа (спустя два дня после публикации PoC-эксплоита), более 30,4 тыс. серверов Exchange из 100 тыс. по-прежнему не исправлены и уязвимы к атакам.
Как сообщили специалисты Huntress Labs, они просканировали взломанные через ProxyShell серверы Microsoft Exchange и выявили более 140 разных web-оболочек на более 1,9 тыс. из них. Серверы принадлежат самым разным организациям, в том числе строительным компаниям, производителям морепродуктов, поставщикам промышленного оборудования, автомастерским, небольшому аэропорту и пр.
Проблема усугубляется публикацией на одном из русскоязычных хакерских форумов списка из более 100 тыс. подключенных к интернету серверов Exchange. Злоумышленникам достаточно лишь вооружиться доступным эксплоитом и начать атаковать серверы по списку.