افشای کد بهرهجو ProxyNotShell
به تازگی نمونه اثباتگر (Proof-of-Concept – به اختصار PoC) دو آسیبپذیری که با نام ProxyNotShell شناخته میشوند و به طور فعال در Microsoft Exchange مورد بهرهجویی قرار گرفتهاند، منتشر شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، ضعفهای امنیتی مذکور مورد بررسی قرار گرفته است.
این دو آسیبپذیری دارای شناسههای CVE-2022-41082 و CVE-2022-41040 میباشند و بهرهجویی از آنها مهاجمان را قادر میسازد تا از طریق «ترفیع اختیارات» (Privilege Escalation) و با بکارگیری پروسههایی نظیر PowerShell، کد دلخواه و مخرب را از راه دور در سیستمهای آسیبپذیر اجرا کنند.
یکی از این آسیبپذیریها با شناسه CVE-2022-41040 ضعفی از نوع Server-Side Request Forgery است که مهاجم را قادر به ارتقای سطح دسترسی (Elevation of Privilege) بر روی سرور آسیبپذیر میکند. مایکروسافت شدت این آسیبپذیری را «حیاتی» (Critical) گزارش کرده است.
ضعف امینی دوم با شناسه CVE-2022-41082 امکان اجرای کد دلخواه مهاجم را به صورت از راه دور (Remote Code Execution – به اختصار RCE) بر روی سرورهای هکشده فراهم میکند. مایکروسافت این آسیبپذیری را در دسته ضعفهای امنیتی «مهم» (Important) قرار داده است.
نسخ زیر نسبت به CVE-2022-41040 و CVE-2022-41082 آسیبپذیر گزارش شدهاند:
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
مایکروسافت با انتشار بهروزرسانیهای امنیتی، وصله این دو ضعف امنیتی را در اصلاحیههای نوامبر ۲۰۲۲ منتشر کرد؛ حملات ProxyNotShell حداقل از سپتامبر ۲۰۲۲ شناسایی شدهاند.
یک هفته پس از انتشار بهروزرسانیهای امنیتی ProxyNotShell توسط مایکروسافت، یکی از محققان امنیتی اقدام به افشای PoC این آسیبپذیریها که مهاجمان به آن شیوه از سرورهای Exchange سوءاستفاده کردهاند، نمود.
شرکت GreyNoise از اواخر شهریور 1401، بهرهجویی از ProxyNotShell را ردیابی کرده است و اطلاعاتی در خصوص پویش فعالیتهای ProxyNotShell و فهرستی از نشانهای IP مرتبط با این حملات را در نشانیهای زیر ارائه داده است.
https://viz.greynoise.io/tag/exchange-proxynotshell-vuln-check?days=30
https://viz.greynoise.io/query/?gnql=tags%3A%22Exchange%20ProxyNotShell%20Vuln%20Check%22
برخی منابع گزارش کردهاند که مهاجمان با سوءاستفاده از مجموعه آسیبپذیریهای مذکور، اقدام به نصب پوسته وبی تحت عنوان Chinese Chopper Web Shell بر روی سرور آسیبپذیر Exchange و در ادامه گسترش دامنه نفوذ خود را در سطح شبکه قربانی نمودهاند.
احتمال آن میرود که با توجه به انتشار PoC این ضعفهای امنیتی، بهرهجویی از آنها در حملات سایبری افزایش یابد. لذا توصیه میشود جهت محافظت در برابر این تهدیدات، در اسرع وقت اعمال اصلاحیههای ماه نوامبر 2022 شرکت مایکروسافت در دستور کار قرار گیرد.
منبع:
اخبار مرتبط
مهاجمان در حال بهرهجویی از دو آسیبپذیری روز-صفر در Exchange