على الرغم من توفر إصلاحات للثغرات الأمنية الموضحة أعلاه ، فإن مسؤولي النظام ليسوا في عجلة من أمرهم لتثبيتها.
في غضون يومين فقط ، اقتحم المتسللون حوالي 2000 خادم بريد Microsoft Exchange وقاموا بتثبيت أبواب خلفية عليها من خلال ثغرات ProxyShell غير المصححة.
بدأت الهجمات ، التي سجلتها شركة الأمن السيبراني Huntress Labs ، بعد نشر ثغرة إثبات الملكية في وقت سابق من هذا الشهر. منذ أسبوعين ، أصبحت عمليات فحص الشبكة بحثًا عن الخوادم المعرضة للخطر أكثر تواترًا .
ثغرات ProxyShell:
CVE-2021-34473 - قائمة التحكم في الوصول (تجاوز ACL). يسمح لمهاجم غير مصرح له بتنفيذ تعليمات برمجية عن بُعد على نظام ضعيف. تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-34523 - تصعيد الامتياز في Exchange PowerShell Backend. يسمح للمهاجم المعتمد بتنفيذ تعليمات برمجية عشوائية. تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-31207 - تنفيذ التعليمات البرمجية عن بُعد. يمكن للمهاجم المعتمد تنفيذ تعليمات برمجية عشوائية في سياق النظام وكتابة ملفات عشوائية. ثابت في مايو 2021 في تحديث KB5003435.
على الرغم من توفر إصلاحات للثغرات الأمنية الموضحة أعلاه ، يبدو أن مسؤولي النظام ليسوا في عجلة من أمرهم لتثبيتها. وفقًا لنتائج الفحص الذي أجرته ISC SANS في 8 أغسطس (بعد يومين من نشر ثغرة PoC) ، لا يزال أكثر من 30400 خادم Exchange من أصل 100000 غير مصحح وعرضة للهجمات.
وفقًا لـ Huntress Labs ، قاموا بفحص خوادم Microsoft Exchange التي تم اختراقها من خلال ProxyShell وحددوا أكثر من 140 قذيفة ويب مختلفة لأكثر من 1.9 ألف منهم. الخوادم مملوكة لمجموعة متنوعة من المؤسسات ، بما في ذلك شركات البناء ومصنعي المأكولات البحرية وموردي المعدات الصناعية ومحلات تصليح السيارات ومطار صغير وغير ذلك.
تفاقمت المشكلة بسبب نشر قائمة بأكثر من 100000 خادم Exchange متصل بالإنترنت على أحد منتديات الهاكرز باللغة الروسية. يحتاج المهاجمون فقط إلى تسليح أنفسهم باستغلال متاح والبدء في مهاجمة الخوادم وفقًا للقائمة.
0 تعليقات