افشای کد بهره‌جو ProxyNotShell

به تازگی نمونه اثبات‌گر (Proof-of-Concept – به اختصار PoC) دو آسیب‌پذیری که با نام ProxyNotShell شناخته‌ می‌شوند و به طور فعال در Microsoft Exchange مورد بهره‌جویی قرار گرفته‌اند، منتشر شده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، ضعف‌های امنیتی مذکور مورد بررسی قرار گرفته است.

این دو آسیب‌پذیری دارای شناسه‌های CVE-2022-41082 و CVE-2022-41040 می‌باشند و بهره‌جویی از آنها مهاجمان را قادر می‌سازد تا از طریق «ترفیع اختیارات» (Privilege Escalation) و با بکارگیری پروسه‌هایی نظیر PowerShell، کد دلخواه و مخرب را از راه دور در سیستم‌های آسیب‌پذیر اجرا کنند.

یکی از این آسیب‌پذیری‌ها با شناسه CVE-2022-41040 ضعفی از نوع Server-Side Request Forgery است که مهاجم را قادر به ارتقای سطح دسترسی (Elevation of Privilege) بر روی سرور آسیب‌پذیر می‌کند. مایکروسافت شدت این آسیب‌پذیری را «حیاتی» (Critical) گزارش کرده است.

ضعف امینی دوم با شناسه CVE-2022-41082 امکان اجرای کد دلخواه مهاجم را به صورت از راه دور (Remote Code Execution – به اختصار RCE) بر روی سرورهای هک‌شده فراهم می‌کند. مایکروسافت این آسیب‌پذیری را در دسته ضعف‌های امنیتی «مهم» (Important) قرار داده است.

نسخ زیر نسبت به CVE-2022-41040 و CVE-2022-41082 آسیب‌پذیر گزارش شده‌اند:

  • Microsoft Exchange Server 2019
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2013

مایکروسافت با انتشار به‌روزرسانی‌های امنیتی، وصله این دو ضعف امنیتی را در اصلاحیه‌های نوامبر ۲۰۲۲ منتشر کرد؛ حملات ProxyNotShell حداقل از سپتامبر ۲۰۲۲ شناسایی شده‌اند.

یک هفته پس از انتشار به‌روزرسانی‌های امنیتی ProxyNotShell توسط مایکروسافت، یکی از محققان امنیتی اقدام به افشای PoC این آسیب‌پذیری‌ها که مهاجمان به آن شیوه از سرورهای Exchange سوءاستفاده کرده‌اند، نمود.

شرکت GreyNoise از اواخر شهریور 1401، بهره‌جویی از ProxyNotShell را ردیابی کرده است و اطلاعاتی در خصوص پویش فعالیت‌های ProxyNotShell و فهرستی از نشان‌های IP مرتبط با این حملات را در نشانی‌های زیر ارائه داده است.

https://viz.greynoise.io/tag/exchange-proxynotshell-vuln-check?days=30

https://viz.greynoise.io/query/?gnql=tags%3A%22Exchange%20ProxyNotShell%20Vuln%20Check%22

برخی منابع گزارش کرده‌اند که مهاجمان با سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور، اقدام به نصب پوسته وبی تحت عنوان Chinese Chopper Web Shell بر روی سرور آسیب‌پذیر Exchange و در ادامه گسترش دامنه نفوذ خود را در سطح شبکه قربانی نموده‌اند.

احتمال آن می‌رود که با توجه به انتشار PoC این ضعف‌های امنیتی، بهره‌جویی از آنها در حملات سایبری افزایش یابد. لذا توصیه می‌شود جهت محافظت در برابر این تهدیدات، در اسرع وقت اعمال اصلاحیه‌های ماه نوامبر 2022 شرکت مایکروسافت در دستور کار قرار گیرد. 

 

 منبع:

https://www.bleepingcomputer.com/news/security/exploit-released-for-actively-abused-proxynotshell-exchange-bug/

 

اخبار مرتبط

مهاجمان در حال بهره‌جویی از دو آسیب‌پذیری روز-صفر در Exchange

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *