Πάνω από 60.000 servers Microsoft Exchange που δεν έχουν ενημερωθεί για την ευπάθεια CVE-2022-41082 που επιτρέπει απομακρυσμένη εκτέλεση κώδικα (RCE), είναι εκτεθειμένοι στο διαδίκτυο και ευάλωτοι σε exploits του ProxyNotShell. Είναι μία από τις δύο ευπάθειες ασφαλείας που μπορούν να αξιοποιηθούν από το ProxyNotShells.
Το Shadowserver Foundation, ένα μη κερδοσκοπικό ίδρυμα που επικεντρώνεται στη βελτίωση της διαδικτυακής ασφάλειας, ανέφερε πρόσφατα στο Twitter ότι σχεδόν 70.000 servers Microsoft Exchange είναι ευάλωτοι σε επιθέσεις ProxyNotShell. Αυτή η ανησυχητική ανακάλυψη είναι ενδεικτική της σημασίας των κατάλληλων μέτρων και πρωτοκόλλων κυβερνοασφάλειας.
Ενθαρρυντικά, τα τελευταία δεδομένα που δημοσιεύθηκαν τη Δευτέρα αποκαλύπτουν μια σημαντική μείωση των ευάλωτων Exchange servers – από 83.946 περιπτώσεις στα μέσα Δεκεμβρίου σε 60.865 στις αρχές Ιανουαρίου.
Με την ονομασία “ProxyNotShell”, δύο ευπάθειες ασφαλείας, CVE-2022-41082 και CVE-2022-41040, επηρεάζουν τους Exchange Servers 2013, 2016 και 2019. Όλοι οι χρήστες αυτών των διακομιστών πρέπει να αναλάβουν δράση για να προστατεύσουν τα δεδομένα τους από κακόβουλους φορείς.
Σε περίπτωση που οι χάκερ εκμεταλλευτούν την είσοδό τους, μπορούν να αυξήσουν τα προνόμια και να επιτύχουν πιθανώς αυθαίρετη ή απομακρυσμένη εκτέλεση κώδικα στους servers που έχουν διεισδύσει.
Παρά τις αναφορές για επιθέσεις ProxyNotShell από τον Σεπτέμβριο του 2022, η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας στο Patch Tuesday του Νοεμβρίου.
Δείτε ακόμα: Exchange Online: Από τον Ιανουάριο, δε θα υποστηρίζει basic auth
Από τις 30 Σεπτεμβρίου, οι ειδικοί ασφαλείας της GreyNoise παρακολουθούν την εκμετάλλευση του ProxyNotShell. Εκτός από την παροχή πληροφοριών σχετικά με αυτή την κακόβουλη δραστηριότητα, οι αναφορές τους παρέχουν έναν κατάλογο διευθύνσεων IP που σχετίζονται με αυτές τις επιθέσεις.
Για να διατηρήσετε τους Exchange servers σας ασφαλείς και προστατευμένους από πιθανές απειλές, είναι απαραίτητο να εγκαταστήσετε τις επιδιορθώσεις ProxyNotShell που κυκλοφόρησε η Microsoft τον Νοέμβριο.
Παρόλο που η εταιρεία εφάρμοσε διορθωτικά μέτρα, οι κακόβουλοι εισβολείς μπορούν ακόμη να τα παρακάμψουν- ως εκ τούτου, μόνο οι servers που έχουν αναβαθμιστεί διεξοδικά είναι ασφαλείς από την εκμετάλλευση.
Ακόμα χειρότερα, μια αναζήτηση του Shodan αποκαλύπτει έναν τεράστιο αριθμό Exchange servers που είναι εκτεθειμένοι στο διαδίκτυο, με χιλιάδες να μένουν απροστάτευτοι από τις ευπάθειες ProxyShell και ProxyLogon, οι οποίες ήταν μεταξύ των πιο εκμεταλλεύσιμων του 2021.
Δείτε επίσης: FIN7: Δημιούργησε πλατφόρμα auto-attack για να παραβιάσει Exchange servers
Οι διακομιστές Exchange αποτελούν ζωτικό μέρος της υποδομής πληροφορικής κάθε επιχείρησης. Παρέχουν ασφαλή πρόσβαση σε μηνύματα ηλεκτρονικού ταχυδρομείου, ημερολόγια, επαφές και άλλα σημαντικά δεδομένα. Οι Exchange servers βοηθούν τις επιχειρήσεις να παραμένουν οργανωμένες, να διασφαλίζουν τα δεδομένα τους και να επικοινωνούν αποτελεσματικότερα με τους πελάτες και τους συναδέλφους τους. Αυτός είναι και ο λόγος που αποτελούν τόσο ελκυστικούς στόχους για τους κυβερνοεγκληματίες.