ProxyShell實際上是由3個漏洞所串連,分別是微軟於4月修補的CVE-2021-34473與CVE-2021-34523,以及5月修補的CVE-2021-31207,值得注意的是,其中的CVE-2021-34473與CVE-2021-34523雖在4月就修補,但微軟一直到7月才分配CVE編號給它們,可能會讓許多根據CVE編號進行修補的管理人員,忽略這兩個漏洞。

美國網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)上周警告,駭客正在積極開採位於Microsoft Exchange的ProxyShell漏洞,呼籲各大組織應儘速修補。

ProxyShell實際上是由3個漏洞所串連,分別是微軟於4月修補的CVE-2021-34473CVE-2021-34523,以及5月修補的CVE-2021-31207,值得注意的是,其中的CVE-2021-34473與CVE-2021-34523雖在4月就修補,但微軟一直到7月才分配CVE編號給它們,可能會讓許多根據CVE編號進行修補的管理人員,忽略這兩個漏洞。

這3個漏洞是由臺灣資安業者戴夫寇爾(Devcore)所揭露,分別屬於遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,它們同時影響Microsoft Exchange Server 2013、2016與2019,串連這些漏洞將允許駭客於系統上執行任意程式。

在戴夫寇爾首席研究人員蔡政達(Orange Tsai)於8月初舉行的黑帽大會上,展示了ProxyShell漏洞之後,駭客即開始掃描網路上含有相關漏洞的系統,包括研究人員與駭客也都著手打造針對ProxyShell的攻擊程式。

資安研究人員Kevin Beaumont指出,ProxyShell漏洞比ProxyLogon漏洞更嚴重,因為ProxyShell更容易開採,而且很多組織基本上並未修補。

不管是Beaumont自己設置的誘捕系統或是資安業者賽門鐵克,都已發現駭客正利用ProxyShell漏洞來部署勒索軟體LockFile,且根據賽門鐵克的觀察,7月才看到的LockFile,到了今年8月下旬就已感染全球至少10家組織。

資安業者Huntress則透過Reddit警告,已於未修補的Microsoft Exchange伺服器上看到5種不同功能的惡意Web Shell,且在8月22日時,網路上至少還有1,764臺尚未修補ProxyShell漏洞的Exchange伺服器。

此外,截至8月22日,Huntress已於短短的4天內,看到164臺Exchange伺服器被成功入侵。

總之,ProxyShell漏洞現階段顯然已成為駭客的遊樂園,儘快修補才是上策。

熱門新聞

Advertisement