Decine di migliaia di server Microsoft Exchange (si apre in una nuova scheda) sono ancora vulnerabili a un difetto ad alta gravità utilizzato nelle vulnerabilità di ProxyNotShell, hanno avvertito i ricercatori.
Gli studiosi di sicurezza informatica della Shadowserver Foundation hanno affermato che quasi XNUMX indirizzi IP erano vulnerabili a CVE-XNUMX-XNUMX, una vulnerabilità di Remote Code Execution (RCE) che è stata corretta all'inizio di novembre dello scorso anno.
Al momento della pubblicazione, i dati di Shadowserver mostrano almeno cinquantasette indirizzi IP vulnerabili zero, sebbene i dati vengano forniti con una dichiarazione di non responsabilità secondo cui i risultati "sono stati calcolati aggiungendo il numero di indirizzi IP univoci, il che significa che un indirizzo IP" unico " potrebbe essere stato contato "più di una volta".
Mitigazione e correzioni
"Tutti i numeri dovrebbero essere trattati come indicativi piuttosto che esatti", ha affermato Shadowserver, ma i numeri in calo potrebbero essere un'indicazione di una tendenza positiva.
Esistono due vulnerabilità molto gravi chiamate ProxyNotShell: la già citata CVE-XNUMX-XNUMX e CVE-XNUMX-XNUMX, un difetto di elevazione dei privilegi anch'esso risolto all'inizio di novembre. Gli endpoint interessati includono Exchange Server XNUMX, XNUMX e XNUMX.
Sebbene esistano mitigazioni gratuite, gli studiosi esortano i professionisti IT ad applicare la patch al loro sito, poiché le mitigazioni possono essere evitate. Un rapporto di BleepingComputer ha visto gli operatori di ransomware impiegare una catena di exploit scoperta di recente per aggirare alcune mitigazioni di ProxyNotShell ed eseguire codice dannoso in remoto su dispositivi mirati.
I server di Exchange sono preziosi per gli hacker e, come tali, sono spesso il bersaglio. Ad esempio, la nefasta suite LockBit è stata recentemente scoperta mentre iniettava malware tramite server Exchange compromessi. La scorsa estate, due server appartenenti alla stessa azienda sono stati infettati da LockBit trenta. Secondo il rapporto, gli aggressori hanno prima incorporato una web shell, quindi una settimana dopo hanno ceduto i privilegi all'amministratore di Active Directory, ne hanno fatto scorrere uno con tre TB di dati e sistemi crittografati ospitati sulla rete.
Alla fine dello scorso anno, i ricercatori hanno scoperto una campagna dannosa che cercava anche di sfruttare la vulnerabilità ProxyShell già corretta in Microsoft Exchange.
Via: BleepingComputer (si apre in una nuova scheda)