محققان امنیتی در مورد نقصهای فاش نشدهای در سرورهای Microsoft Exchange که کاملاً اصلاح شده و اکنون توسط عوامل مخرب در حملاتی برای دستیابی به اجرای کد از راه دور در سیستمهای آسیبپذیر مورد سوءاستفاده قرار میگیرند، نشدار دادند.
این دو آسیبپذیری که هنوز به طور رسمی شناسههای CVE به آنها اختصاص داده نشده است، توسط Zero Day Initiative با شناسههای ZDI-CAN-18333 (امتیاز CVSS: 8.8) و ZDI-CAN-18802 (امتیاز CVSS: 6.3) ردیابی میشوند.
شرکت امنیتی GTSC که ابن هشدار را در گزارشی صادر کرده است گفت که بهرهبرداری موفقیتآمیز از نقصها میتواند برای به دست آوردن دسترسی در سیستمهای هدف مورد سوءاستفاده قرار گیرد و مهاجم را قادر میسازد تا با استفاده از یک web shell بتواند در شبکه جابجا شود.
گفته میشود که درخواستهای مرتبط با این آسیبپذیری در گزارشهای IIS در قالب آسیبپذیریهای ProxyShell Exchange Server ظاهر میشوند و GTSC اشاره کرده است که سرورهای هدف، قبلاً در برابر نقصهایی که در مارس 2021 کشف شدهاند وصله شده بودند.
این شرکت امنیت سایبری این نظریه را مطرح کرد که به دلیل رمزگذاری web shell به زبان چینی، حملات احتمالاً از یک گروه هکر چینی سرچشمه میگیرند (Windows Code page 936).
به عنوان راهحلهای موقت، توصیه میشود با استفاده از ماژول URL Rewrite Rule برای سرورهای IIS، یک RULE برای مسدود کردن درخواستها اضافه کنید:
همچنین محقق امنیتی Beaumont گفت: اگر Microsoft Exchange را به صورت پیشفرض اجرا نکنید، و Outlook Web App شما درمعرض اینترنت، تحتتأثیر این آسیبپذیری قرار نخواهید گرفت.
این دو آسیبپذیری که هنوز به طور رسمی شناسههای CVE به آنها اختصاص داده نشده است، توسط Zero Day Initiative با شناسههای ZDI-CAN-18333 (امتیاز CVSS: 8.8) و ZDI-CAN-18802 (امتیاز CVSS: 6.3) ردیابی میشوند.
شرکت امنیتی GTSC که ابن هشدار را در گزارشی صادر کرده است گفت که بهرهبرداری موفقیتآمیز از نقصها میتواند برای به دست آوردن دسترسی در سیستمهای هدف مورد سوءاستفاده قرار گیرد و مهاجم را قادر میسازد تا با استفاده از یک web shell بتواند در شبکه جابجا شود.
گفته میشود که درخواستهای مرتبط با این آسیبپذیری در گزارشهای IIS در قالب آسیبپذیریهای ProxyShell Exchange Server ظاهر میشوند و GTSC اشاره کرده است که سرورهای هدف، قبلاً در برابر نقصهایی که در مارس 2021 کشف شدهاند وصله شده بودند.
این شرکت امنیت سایبری این نظریه را مطرح کرد که به دلیل رمزگذاری web shell به زبان چینی، حملات احتمالاً از یک گروه هکر چینی سرچشمه میگیرند (Windows Code page 936).
به عنوان راهحلهای موقت، توصیه میشود با استفاده از ماژول URL Rewrite Rule برای سرورهای IIS، یک RULE برای مسدود کردن درخواستها اضافه کنید:
- در Autodiscover در FrontEnd، تب URL Rewrite را انتخاب کنید و سپس Request Blocking را انتخاب کنید
- رشته ".*autodiscover\.json.*\@.*Powershell.*" را به مسیر URL اضافه کنید
- Condition input: {REQUEST_URI}
همچنین محقق امنیتی Beaumont گفت: اگر Microsoft Exchange را به صورت پیشفرض اجرا نکنید، و Outlook Web App شما درمعرض اینترنت، تحتتأثیر این آسیبپذیری قرار نخواهید گرفت.