Más de 60.000 servidores Exchange vulnerables a ProxyNotShell
Según un tuit reciente de investigadores de seguridad de la Fundación Shadowserver, una organización sin fines de lucro dedicada a mejorar la seguridad en Internet, se descubrió que casi 70.000 servidores de Microsoft Exchange eran vulnerables a los ataques de ProxyNotShell según la información de la versión (el encabezado «x_owa_version» de los servidores).
Servidores de Microsoft Exchange expuestos en línea aún no se han parcheado contra la vulnerabilidad de ejecución remota de código (RCE) CVE-2022–41082, una de las dos fallas de seguridad a las que apuntan los exploits de ProxyNotShell.
Nuevos datos publicados el lunes muestran que la cantidad de servidores Exchange vulnerables ha disminuido de 83.946 instancias a mediados de diciembre a 60.865 detectadas el 2 de enero.
Estos dos errores de seguridad, indentificados como CVE-2022–41082 y CVE-2022–41040 y conocidos colectivamente como ProxyNotShell, afectan a Exchange Server 2013, 2016 y 2019.
Si se explota con éxito, los atacantes pueden aumentar los privilegios y obtener la ejecución de código arbitrario o remoto en servidores comprometidos.
Microsoft lanzó actualizaciones de seguridad para abordar las fallas durante el martes de parches de noviembre de 2022, a pesar de que se han detectado ataques de ProxyNotShell desde al menos septiembre de 2022.
La empresa de inteligencia de amenazas GreyNoise ha estado rastreando la explotación de ProxyNotShell en curso desde el 30 de septiembre y proporciona información sobre la actividad de escaneo de ProxyNotShell y una lista de direcciones IP vinculadas a los ataques.
Miles también expuestos a ataques ProxyShell y ProxyLogon
Para proteger sus servidores Exchange de ataques entrantes, debe aplicar los parches ProxyNotShell lanzados por Microsoft en noviembre.
Si bien la compañía también proporcionó medidas de mitigación, los atacantes pueden eludirlas, lo que significa que solo los servidores completamente parcheados están seguros contra el compromiso.
Como informó BleepingComputer el mes pasado, los actores de amenazas de ransomware Play ahora están utilizando una nueva cadena de explotación para evitar las mitigaciones de reescritura de URL de ProxyNotShell y obtener la ejecución remota de código en servidores vulnerables a través de Outlook Web Access (OWA).
Para empeorar las cosas, una búsqueda de Shodan revela una cantidad significativa de servidores de Exchange expuestos en línea, con miles sin parchear contra las vulnerabilidades de ProxyShell y ProxyLogon que las convirtieron en las principales vulnerabilidades más explotadas en 2021.
Los servidores de Exchange son objetivos valiosos, como lo demuestra el grupo de delitos cibernéticos FIN7, motivado financieramente, que ha desarrollado una plataforma de autoataque personalizada conocida como Checkmarks y diseñada para violar los servidores de Exchange.
Según la firma de inteligencia de amenazas Prodaft, que descubrió la plataforma, busca y explota varias vulnerabilidades de elevación de privilegios y ejecución remota de código de Microsoft Exchange, como CVE-2021–34473, CVE-2021–34523 y CVE-2021–31207.
La nueva plataforma de FIN7 ya se ha utilizado para infiltrarse en 8.147 empresas, principalmente ubicadas en los Estados Unidos (16,7 %), después de escanear más de 1,8 millones de objetivos.
Fuente y redacción: segu-info.com.ar