Çevrimiçi olarak maruz kalan 60.000'den fazla Microsoft Exchange sunucusu henüz Proxynotshell istismarları tarafından hedeflenen iki güvenlik kusurundan biri olan CVE-2022-41082 Uzak Kod Yürütme (RCE) güvenlik açığına karşı yamalanmadı.
İnternet güvenliğini artırmaya adanmış kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation'daki güvenlik araştırmacılarından yakın zamanda yapılan bir tweet'e göre, yaklaşık 70.000 Microsoft Exchange sunucusu sürüm bilgilerine göre proxynotshell saldırılarına karşı savunmasız olduğu bulundu.
Bununla birlikte, Pazartesi günü yayınlanan yeni veriler, savunmasız değişim sunucularının sayısının Aralık ortasında 83.946 örnekten 2 Ocak'ta tespit edilen 60.865'e düştüğünü göstermektedir.
CVE-2022-41082 ve CVE-2022-41040 olarak izlenen ve toplu olarak Proxynotshell olarak bilinen bu iki güvenlik hatası, Exchange Server 2013, 2016 ve 2019'u etkilemektedir.
Başarılı bir şekilde sömürülürse, saldırganlar ayrıcalıkları artırabilir ve tehlikeye atılan sunucularda keyfi veya uzaktan kod yürütme kazanabilir.
Microsoft, en az Eylül 2022'den beri vahşi doğada proxynotshell saldırıları tespit edilmiş olsa da, Kasım 2022 Patch Salı günü kusurları ele almak için güvenlik güncellemeleri yayınladı.
Tehdit İstihbarat Şirketi Greynoise, 30 Eylül'den bu yana devam eden Proxynotshell sömürüsünü izliyor ve Proxynotshell tarama etkinliği ve saldırılara bağlı IP adreslerinin bir listesi hakkında bilgi sağlıyor.
Değişim sunucularınızı gelen saldırılardan korumak için, Kasım ayında Microsoft tarafından yayınlanan proxynotshell yamalarını uygulamanız gerekir.
Şirket de hafifletme önlemleri sağlasa da, bunlar saldırganlar tarafından atlanabilir, yani sadece tamamen yamalı sunucular uzlaşmadan korunur.
Geçen ay BleepingComputer tarafından bildirildiği gibi, Play Ransomware tehdit aktörleri artık Proxynotshell URL yeniden yazma ve Outlook Web Access (OWA) aracılığıyla savunmasız sunucularda uzaktan kod yürütme kazanmak için yeni bir istismar zinciri kullanıyor.
İşleri daha da kötüleştirmek için, bir Shodan araması, çevrimiçi olarak maruz kalan önemli sayıda değişim sunucusu ortaya çıkarır ve binlerce kişi 2021'de en çok sömürülen güvenlik açıklarına dönüşen Proxyshell ve Proxylogon güvenlik açıklarına karşı açılır.
Değişim sunucuları, checkmarks olarak bilinen ve değişim sunucularını ihlal etmek için tasarlanmış özel bir otomatik saldırı platformu geliştiren finansal olarak motive edilen FIN7 siber suçlu grubunun gösterdiği gibi değerli hedeflerdir.
Platformu keşfeden tehdit istihbarat firması Prodaft'a göre, çeşitli Microsoft Exchange uzaktan kod yürütme ve CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 gibi ayrıcalık yükseklik güvenlik açıklarını tarar ve kullanır.
Fin7'nin yeni platformu, 1.8 milyondan fazla hedefi taradıktan sonra, öncelikle ABD'de (%16.7) bulunan 8.147 şirkete sızmak için kullanıldı.
Ransomware Gang, sunucuları ihlal etmek için yeni Microsoft Exchange istismarını kullanıyor
BleepingComputer'ın 2022 En Popüler Teknoloji Hikayeleri
Rackspace, fidye yazılımı saldırısından sonra kimlik avı riskleri konusunda uyarıyor
Aktif olarak istismar edilen proxynotshell borsa için piyasaya sürülen istismar
Microsoft Kasım 2022 Patch Salı Düzeltmeleri 6 Sıralı Sıfır Günleri, 68 Kusur
Kaynak: Bleeping Computer