超 6 萬 Exchange 服務器仍未修複 CVE-2022-41082 遠程代碼執行漏洞,受到 ProxyNotShell 攻擊的影響。
ProxyNotShell 攻擊是微軟 Exchange 服務器中的兩個安全漏洞的集合,即 CVE-2022-41082 和 CVE-2022-41040。攻擊者利用這兩個漏洞可以在受害者 Exchange 服務器上實現權限提升、實現任意代碼執行和遠程代碼執行。漏洞影響 Exchange 服務器 2013、2016 和 2019 版本。
研究人員自 2022 年 9 月起就發現了 ProxyNotShell 在野攻擊,微軟也于 2022 年 11 月的微軟補丁日發布了安全更新來修複這兩個安全漏洞。
近日,Shadowserver Foundation 安全研究人員發推稱,根據 Exchange 服務器的版本信息 ( 服務器的 x_owa_version header ) 判斷,仍有近 7 萬微軟 Exchange 服務器易受到 ProxyNotShell 攻擊的影響。
根據 Shadowserver Foundation 1 月 2 日發布的最新數據顯示,有漏洞的 Exchange 服務器數量已從 2022 年 12 月中旬的 83,946 下降到 1 月 2 日的 60,865。
圖 受到 ProxyNotShell 攻擊影響的 Exchange 服務器
威脅情報公司 GreyNoise 自 2022 年 9 月開始追蹤 ProxyNotShell 攻擊活動,并提供了 ProxyNotShell 掃描活動的信息和與攻擊相關的 IP 地址列表。
圖 受 ProxyNotShell 攻擊影響的 Exchange 服務器地圖
為應對潛在的攻擊,研究人員建議 Exchange 服務器用戶盡快安裝微軟 2022 年 11 月發布的 ProxyNotShell 補丁。雖然微軟提供了補丁,但攻擊者仍然可以繞過補丁。2022 年 1 月,Play 勒索軟件攻擊者就使用新的漏洞利用鍊來繞過 ProxyNotShell URL 重寫緩解措施,并通過 Outlook Web Access ( OWA ) 在有漏洞的服務器上實現遠程代碼執行。
此外,Shodan 搜索結果顯示有大量未修複的 Exchange 服務器暴露在互聯網,上千台服務器仍然受到 ProxyShell 和 ProxyLogon 攻擊的影響。
圖 暴露在互聯網的 Exchange 服務器
