تحذر وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية من محاولات الاستغلال النشطة التي تستفيد من أحدث خط من ثغرات " ProxyShell " Microsoft Exchange التي تم تصحيحها في وقت سابق من شهر مايو ، بما في ذلك نشر LockFile ransomware على الأنظمة المخترقة.
تم تتبع الثغرات الأمنية مثل CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207 ، وتمكن الثغرات الخصوم من تجاوز عناصر التحكم في قائمة التحكم بالوصول (ACL) ، ورفع الامتيازات على الواجهة الخلفية لـ Exchange PowerShell ، مما يسمح للمهاجم بشكل فعال بتنفيذ التعليمات البرمجية غير المصادق عليها عن بُعد. بينما تم معالجة الاثنين السابقتين بواسطة Microsoft في 13 أبريل ، تم شحن تصحيح لـ CVE-2021-31207 كجزء من تحديثات May Patch الثلاثاء الخاصة بصانع Windows.
Stack Overflow Teamsr وقالت CISA : "يمكن للمهاجم الذي يستغل هذه الثغرات الأمنية تنفيذ تعليمات برمجية عشوائية على جهاز ضعيف" .
يأتي هذا التطور بعد أكثر من أسبوع بقليل من إطلاق باحثو الأمن السيبراني ناقوس الخطر بشأن الفحص الانتهازي واستغلال خوادم Exchange غير المصححة من خلال الاستفادة من سلسلة هجوم ProxyShell.
عيوب ProxyShell تم عرض ProxyShell في الأصل في مسابقة Pwn2Own للقرصنة في أبريل من هذا العام ، وهو جزء من سلسلة ثلاثية أوسع من سلاسل الاستغلال التي اكتشفها الباحث الأمني في DEVCORE Orange Tsai والتي تتضمن ProxyLogon و ProxyOracle ، يتعلق الأخير بعيوب تنفيذ التعليمات البرمجية عن بُعد التي يمكن توظيفها في استعادة كلمة مرور المستخدم بتنسيق نص عادي.
أشار الباحث كيفين بومونت الأسبوع الماضي: "إنها صناديق أبواب خلفية بها قشور ويب تسقط قشور ويب أخرى وأيضًا ملفات قابلة للتنفيذ تستدعي بشكل دوري" .
منع هجمات برامج الفدية الآن وفقًا للباحثين من Huntress Labs ، تمت ملاحظة ما لا يقل عن خمسة أنماط مختلفة من قذائف الويب على أنها تم نشرها على خوادم Microsoft Exchange المعرضة للخطر ، حيث تم الإبلاغ عن أكثر من 100 حادثة تتعلق بالاستغلال بين 17 و 18 أغسطس. تمنح قذائف الويب المهاجمين الوصول عن بُعد للخوادم المخترقة ، ولكن ليس من الواضح بالضبط ما هي الأهداف أو مدى استخدام جميع العيوب.
تم اكتشاف أكثر من 140 قذيفة ويب عبر ما لا يقل عن 1900 خادم Exchanger غير مصحح حتى الآن ، كما غرد الرئيس التنفيذي لشركة Huntress Labs Kyle Hanslovan ، مضيفًا "تشمل [المنظمات] المتأثرة حتى الآن تصنيع المباني ومعالجات المأكولات البحرية والآلات الصناعية ومحلات إصلاح السيارات ، مطار سكني وأكثر من ذلك ".
المصادر:
- The Hacker News