🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

2.000 máy chủ Exchange bị tấn công qua lỗ hổng ProxyShell

24/08/2021

Gần 2.000 máy chủ email Microsoft Exchange đã bị tấn công trong tuần qua và bị cài backdoor do chưa cài đặt các bản vá lỗ hổng ProxyShell.

ProxyShell là gì?

Được nhà nghiên cứu bảo mật người Đài Loan, Orange Tsai phát hiện, ProxyShell là tập hợp ba lỗ hổng bảo mật khác nhau được sử dụng để chiếm quyền kiểm soát các máy chủ email Microsoft Exchange. Bao gồm các lỗ hổng:

  1. CVE-2021-34473 - cho phép thực thi mã từ xa mà không cần xác thực.
  2. CVE-2021-34523 - cho phép thực thi mã tùy ý sau khi đã xác thực.
  3. CVE-2021-31207 - cho phép thực thi mã tùy ý và ghi tệp tùy ý sau khi đã xác thực.

ProxyShell là một trong ba chuỗi tấn công: ProxyLogon, ProxyOracle, ProxyShell mà Tsai đã phát hiện và kết hợp với nhau.

Tsai đã thực hiện khai thác ProxyShell trong cuộc thi hack Pwn2Own 2021 vào tháng Tư, và được thưởng 200.000 đô la.

Hơn 30.400 máy chủ Exchange có thể bị tấn công

Sau cuộc thi, thông tin chi tiết về khai thác này được chia sẻ ngay với Microsoft và công ty đã vá ba lỗ hổng trong tháng 5 và tháng 7 năm nay.

ISC SANS đã thực hiện một cuộc rà quét trên 100.000 hệ thống vào ngày 8 tháng 8, hai ngày sau khi mã khai thác ProxyShell được công bố, phát hiện hơn 30.400 máy chủ Exchange vẫn chưa được vá và có thể bị khai thác tấn công.

Hơn 1.900 máy chủ Exchange đã bị tấn công

Các nhà nghiên cứu bảo mật Rich WarrenKevin Beaumont cho biết việc khai thác bắt đầu bằng việc quét các hệ thống dễ bị tấn công, sau đó tiến hành các cuộc tấn công thực sự vào hệ thống đó.

Hôm thứ Sáu, công ty bảo mật Huntress Labs cho biết họ đã quét các máy chủ Microsoft Exchange đã bị tấn công bằng ProxyShell và tìm thấy hơn 140 web shell khác nhau trên hơn 1.900 máy chủ Exchange.

Trên một diễn đàn tội phạm mạng ngầm đã công bố danh sách hơn 100.000 máy chủ Exchange mở công khai trên internet. Những kẻ tấn công có thể lấy mã khai thác và bắt đầu tấn công các máy chủ Exchange trong vòng vài phút.

Để giúp quản trị viên hệ thống điều tra các máy chủ Exchange của họ, Huntress Labs đã đưa ra các dấu hiệu để phát hiện tấn công (IOCs).

Nguồn: therecord.media.

scrolltop