FBI从数百个网站主机中删除了利用ProxyLogon漏洞的webshel??l。ProxyLogon包含一组安全漏洞,这些漏洞会影响Microsoft内部版本的ExchangeServer软件中的电子邮件系统。微软上个月警告称,这些漏洞正被铪高级持续威胁(APT)组织严重利用;此后,其他研究人员表示,还有10个或更多APT组织也在利用这些漏洞。ProxyLogon包含四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065),可同时利用这些漏洞创建预验证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效帐户凭据的情况下接管服务器。这样他们就可以进入邮件通讯系统,也有机会上传webshel??l文件,可以进一步攻击网络,比如部署勒索软件等。虽然官方已经发布了补丁,但对网络没有任何影响那些受到威胁的计算机。“许多受感染系统的管理员已经从他们的计算机中删除了webshel??l文件,但并非所有人都能这样做,而且仍有数百个,”司法部在周二的公告中解释说。webshel??l文件存在。”这种紧迫感也促使FBI采取了行动。在这次法庭授权的操作中,FBI通过webshell向受影响的服务器发出了一系列命令。这些命令导致服务器删除webshel??l文件(已确定司法部国家安全部的助理检察长约翰德默斯在一份声明中说:“今天法院授权删除恶意网络外壳表明司法部正在积极使用我们的法律工具。”单方面调查ProxyLogon漏洞技术细节仍处于保密状态,但JupiterOne创始人兼首席执行官郑尔康指出,此举在过去是前所未有的。“真正有趣的是,法院下令发布远程修复易受攻击系统的公告,这是第一次发生这种情况,并且以此为先例,法院可能会更频繁地修复系统中的漏洞。今天,许多企业不知道其基础设施的安全状况如何,这个问题对首席信息安全官来说是一个巨大的挑战。”光环科技全球安全研究副总裁德克·施拉德指出,由于FBI在这方面缺乏透明度,因此出现了很多问题。他告诉Threatpost:“这里有几个关键问题,一个是FBI说这个行动是因为这些受害者缺乏保护自己基础设施的能力,另一个是FBI延迟了一个月才通知受害者攻击他们自己的系统。webshel??l已被删除。”他解释说:“这可能会导致其他问题,因为受害者不知道他们的系统正在访问什么,系统中是否安装了其他后门,而这种做法会伴随其他一系列问题出现。”Horizo??n3.AI客户与合作伙伴总监MontiKnode指出,这一行动表明这些系统漏洞有多么危险。“政府的行动必须以权威性为前提,直接宣告电脑系统已被‘攻陷’,足以让FBI在行动前不通知受害人,取得搜查令直接携带进行这样的操作。虽然操作的规模尚不清楚(法院命令已审查),但FBI能够在不到四天的时间内执行操作,然后公开发布工作这一事实表明,攻击系统可能危及国家安全风险,这绝不是一次普通的手术。”据FBI称,该操作成功地从系统中删除了webshel??l。但是,如果组织的系统尚未打补丁,则仍需要打补丁。“私营部门和其他政府机构为发布检测工具和补丁所做的共同努力表明,公私合作可以为我们国家的网络安全带来新的力量,而且毫无疑问,未来还会有更多,”丹默斯说。有工作要做,但请不要怀疑这些部门在网络安全中扮演着不可或缺的角色。”新的ExchangeRCE漏洞和FBI警告的消息是在发布4月补丁后,微软披露了更多RCE漏洞Exchange(CVE-2021-28480到CVE-2021-28483)在4月,NSA发现并报告了它们。联邦机构还受命在周五之前修补它们。ImmersiveLabs网络威胁研究主管KevinBreen警告说,针对该漏洞的攻击可能会比平时来得更快一些,因为恶意行为者将能够使用现有的概念验证工具来检测系统漏洞。他通过电子邮件补充说:“这凸显了网络安全现在对整个国家安全的重要性,随着情报界和安全企业之间界限的模糊,以及最近一些引人注目的攻击,很明显,国家安全局里现在真想站出来主动解决问题。”本文翻译自:https://threatpost.com/fbi-proxylogon-web-shells/165400/
