Nonostante la disponibilità di correzioni per le vulnerabilità sopra descritte, gli amministratori di sistema non hanno fretta di installarle.
In soli due giorni, gli hacker hanno fatto irruzione in circa 2.000 server di posta Microsoft Exchange e hanno installato backdoor su di essi tramite vulnerabilità ProxyShell prive di patch.
Gli attacchi, registrati dalla società di sicurezza informatica Huntress Labs, sono iniziati dopo la pubblicazione di un exploit PoC all’inizio di questo mese. Due settimane fa, le scansioni di rete alla ricerca di server vulnerabili sono diventate più frequenti.
Vulnerabilità ProxyShell:
CVE-2021-34473 – Elenco controllo accessi (bypass ACL). Consente a un utente malintenzionato di eseguire codice in remoto su un sistema vulnerabile. Risolto nell’aprile 2021 nell’aggiornamento KB5001779;
CVE-2021-34523 – Escalation dei privilegi nel backend di Exchange PowerShell. Consente a un utente malintenzionato autorizzato di eseguire codice arbitrario. Risolto nell’aprile 2021 nell’aggiornamento KB5001779;
CVE-2021-31207 – Esecuzione del codice remoto. Un utente malintenzionato autorizzato potrebbe eseguire codice arbitrario nel contesto del sistema e scrivere file arbitrari. Risolto a maggio 2021 nell’aggiornamento KB5003435.
Nonostante la disponibilità di correzioni per le vulnerabilità descritte sopra, gli amministratori di sistema non sembrano avere fretta di installarle. Secondo i risultati di una scansione condotta da ISC SANS l’8 agosto (due giorni dopo la pubblicazione dell’exploit PoC), più di 30.400 server Exchange su 100.000 sono ancora privi di patch e vulnerabili agli attacchi.
Secondo Huntress Labs, hanno esplorato i server Microsoft Exchange che erano stati compromessi attraverso ProxyShell e identificati più di 140 differenti shell web per più di 1900 di loro. I server sono di proprietà di un’ampia varietà di organizzazioni, tra cui società di costruzioni, produttori di prodotti ittici, fornitori di attrezzature industriali, officine di riparazione auto, un piccolo aeroporto e altro ancora.
Il problema è aggravato dalla pubblicazione su uno dei forum di hacker in lingua russa di un elenco di oltre 100.000 server Exchange connessi a Internet. Gli aggressori devono solo armarsi di un exploit disponibile e iniziare ad attaccare i server in base all’elenco.