بررسیها نشان میدهد که مهاجمان در حال پویش سرورهای Exchange آسیبپذیر به ProxyShell هستند.
این پویشها در حالی انجام میشود که برخی جزییات فنی آسیبپذیریهای ProxyShell در جریان کنفرانس Black Hat ارائه شد.
ProxyShell عنوانی است که به مجموعه سه آسیبپذیری زیر اطلاق میشود:
- CVE-2021-34473 – که ضعفی از نوع “اجرای کد بهصورت از راه دور” (Remote Code Execution – به اختصار RCE) است و در 22 تیر 1400 توسط مایکروسافت وصله شد.
- CVE-2021-34523 – که ضعفی از “ترفیع امتیازی” (Elevation of Privilege) است. این آسیبپذیری نیز در 22 تیر 1400 توسط مایکروسافت وصله شد.
- CVE-2021-31207 – که ضعفی از نوع “عبور از سد کنترلهای امنیتی” (Security Feature Bypass) است و در 21 اردیبهشت 1400 توسط مایکروسافت وصله شد.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، توضیحاتی در خصوص ProxyShell و اقدامات اخیر مهاجمان در شناسایی سرورهای آسیبپذیر به آن ارائه شده است.
سوءاستفاده از سه آسیبپذیری ProxyShell از طریق سرویس Client Access Service – به اختصار CAS – مهاجم را قادر به اجرای کد بهصورت از راه دور، بدون نیاز به هر گونه اصالتسنجی بر روی سرور Exchange میکند.
بهطور پیشفرض، CAS بر روی درگاه 443 در IIS خدماتدهی میکند.
محقق کاشف ProxyShell، در 14 مرداد و در جریان کنفرانس Black Hat اقدام به ارائه اطلاعاتی در مورد نحوه کشف آن کرد.
در بخشی از این ارائه، اشاره شد که یکی از اجزای زنجیره حمله ProxyShell سرویس Autodiscover در Exchange را هدف قرار میدهد.
Autodiscover سازوکاری است که از سوی مایکروسافت بهمنظور تسهیل پیکربندی خودکار نرمافزارهای مدیریت ایمیل با حداقل دخالت کاربر معرفی شده است.
پس از سخنرانی مذکور، دو محقق دیگر با انتشار مقاله فنی زیر به روشهایی که امکان بازتولید بهرهجوی ProxyShell را میدهد پرداختند:
https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1
پیشتر نیز برخی کارشناسان گزارش کرده بودند که مهاجمان با روشهایی در تلاش هستند تا با سوءاستفاده از Autodiscover، سرورهای آسیبپذیر به ProxyShell را شناسایی کنند. در حالی که تلاشهای اولیه مهاجمان موفق نبود، به نظر میرسد در نتیجه انتشار جزییات فنی بیشتر در روزهای اخیر، اکنون مهاجمان با الگوهایی جدید در حال کشف سرورهای آسیبپذیر هستند. هدف از این شناساییها، اجرای حمله سایبری در زمان مورد نظر مهاجمان است.
سرورهای Exchange در بسیاری مواقع هدف مهاجمان با انگیزههای مختلف قرار داشتهاند. از جمله میتوان به اجرای حملات سایبری و انتشار چندین بدافزار مخرب از طریق سوءاستفاده از آسیبپذیری ProxyLogon در این سرورها اشاره کرد.
نظر به وصله شدن ضعفهای امنیتی ProxyShell از سوی مایکروسافت و با توجه به تلاش مهاجمان در شناسایی سرورهای آسیبپذیر به کلیه راهبران Exchange توصیه میشود که در اسرع وقت نسبت به نصب آخرین بهروزرسانیهای Cumulative Update اقدام کنند.
اسلایدهای ارائه شده در خصوص ProxyShell در کنفرانس Black Hat نیز در لینک زیر قابل دریافت است: