خطر نفوذ به سرورهای Exchange از راه ProxyShell

ایمیل سرور مایکروسافت یا Microsoft Exchange Server یکی از محصولات پرکاربرد در شبکه‌ سازمان‌های بزرگ است که آسیب‌پذیری‌های مربوط به آن برای مدت زمانی طولانی مورد هدف حمله‌کنندگان سایبری بوده‌ است. برای مثال، آسیب‌پذیری خطرناک ProxyLogon، در حملات اسفند ماه سال گذشته مورد سوءاستفاده مهاجمان قرار گرفت و منجر به حملات باج‌افزاری، اجرای بدافزار و یا سرقت داده‌های سرورهای Exchange آسیب‌پذیر شد.

خبر آسیب‌پذیری ProxyLogon
تحلیل آسیب‌پذیری ProxyLogon

آسیب‌پذیری‌های ProxyShell

به تازگی جزئیاتی از آسیب‌پذیری‌های جدیدی با عنوان Microsoft Exchange ProxyShell در کنفرانس Black Hat (کنفرانسی سالانه با محوریت امنیت سایبری) منتشر شده است. گزارش‌ها حاکی از آن است که پس از افشای این آسیب‌پذیری، مهاجمان در حال اسکن سرورهای آسیب‌پذیر به ProxyShell هستند و این موضوع نگرانی بسیاری را درباره حملات احتمالی مرتبط با این آسیب‌پذیری‌ها برانگیخته است.

ProxyShell یک مجموعه آسیب‌پذیری اجرای کد از راه دور (RCE) و شامل سه آسیب‌پذیری است که هنگام اتصال به یکدیگر، بدون نیاز به احراز هویت، کد مورد نظر مهاجم را بر روی سرورهای Microsoft Exchange اجرا می‌کنند. این آسیب‌پذیری‌های زنجیره‌ای، از راه دور و از طریق سرویس دسترسی به مشتری (Client Access Service) که روی پورت 443 در IIS فعال است، مورد سوء‌استفاده قرار می‌گیرند.

آسیب‌پذیری‌های مورد استفاده در حملات ProxyShell عبارتند از:

• CVE-2021-34473: درجه خطر بحرانی (وصله شده در ۲۴ فروردین ۱۴۰۰- KB5001779)
• CVE-2021-34523: درجه خطر بالا (وصله شده در۲۴ فروردین ۱۴۰۰- KB5001779)
• CVE-2021-31207: درجه خطر متوسط (وصله شده در ۲۱ اردیبهشت ۱۴۰۰- KB5003435)

نسخه‌های آسیب‌پذیر

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

راهکارها

از آنجایی که وصله‌های مربوط به آسیب‌پذیری ProxyShell ماه‌ها پیش منتشر شده‌اند، انتظار نمی‌رود این سری از حملات به اندازه حملات ProxyLogon گسترده باشند. با این وجود، ۴۰۰ هزار سرور Microsoft Exchange در اینترنت در معرض آسیب هستند و احتمال حملات موفق وجود دارد. در نتیجه به کاربران این سرویس توصیه می‌شود:

1. وصله مربوطه را نصب نمایید تا از نفوذهای احتمالی جلوگیری کنید.
2. در صورت رویت مورد مشکوک یا عدم توانایی در بررسی فارنزیک، با تیم‌های متخصص فارنزیک تماس بگیرید (شرکت امن‌پرداز مانند همیشه آماده ارائه مشاوره در خصوص مسائل امنیتی و بررسی فارنزیک می‌باشد).