超6万Exchange服务器仍未修复CVE-2022-41082远程代码执行漏洞,受到ProxyNotShell攻击的影响。
ProxyNotShell攻击是微软Exchange服务器中的两个安全漏洞的集合,即CVE-2022-41082 和CVE-2022-41040。攻击者利用这两个漏洞可以在受害者Exchange服务器上实现权限提升、实现任意代码执行和远程代码执行。漏洞影响Exchange服务器2013、2016和 2019版本。
研究人员自2022年9月起就发现了ProxyNotShell在野攻击,微软也于2022年11月的微软补丁日发布了安全更新来修复这两个安全漏洞。
近日,Shadowserver Foundation安全研究人员发推称,根据Exchange服务器的版本信息(服务器的x_owa_version header)判断,仍有近7万微软Exchange服务器易受到ProxyNotShell 攻击的影响。
根据Shadowserver Foundation 1月2日发布的最新数据显示,有漏洞的Exchange服务器数量已从2022年12月中旬的83,946下降到1月2日的60,865。
图 受到ProxyNotShell攻击影响的Exchange 服务器
威胁情报公司GreyNoise自2022年9月开始追踪ProxyNotShell攻击活动,并提供了ProxyNotShell扫描活动的信息和与攻击相关的IP地址列表。
图 受ProxyNotShell攻击影响的Exchange服务器地图
为应对潜在的攻击,研究人员建议Exchange服务器用户尽快安装微软2022年11月发布的ProxyNotShell补丁。虽然微软提供了补丁,但攻击者仍然可以绕过补丁。2022年1月,Play 勒索软件攻击者就使用新的漏洞利用链来绕过ProxyNotShell URL重写缓解措施,并通过Outlook Web Access (OWA)在有漏洞的服务器上实现远程代码执行。
此外,Shodan搜索结果显示有大量未修复的Exchange服务器暴露在互联网,上千台服务器仍然受到ProxyShell 和 ProxyLogon攻击的影响。
图 暴露在互联网的Exchange服务器
参考及来源:https://www.bleepingcomputer.com/news/security/over-60-000-exchange-servers-vulnerable-to-proxynotshell-attacks/