پس از انتشار وصلههای خارج از موعد مایکروسافت برای رفع چندین آسیبپذیری روز صفرم (CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065) در نسخههای درون سازمانی محصول Exchange Server، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) نیز چند دستورالعمل اضطراری را در مورد بهرهبرداری فعال از این آسیبپذیریها منتشر کرده است.
هفتهی گذشته، مایکروسافت در مورد حملات فعال با بهرهبرداری از آسیبپذیریهای موجود در سرورهای محصول Exchange خود هشدار داد. بهرهبرداری موفقیتآمیز از این آسیبپذیریها باعث میشود تا مهاجمان بتوانند در محیطهای هدف به سرورهای Exchange Server نفوذ کنند و با هدف تسهیل دسترسی طولانی مدت به این سرورها، دربهای پشتی غیرمجاز مبتنی بر وب را بر روی سیستم قربانی نصب کنند.
مهمترین این آسیبپذیریها که با شناسه CVE-2021-26855 ردیابی میشود، ProxyLogon نام دارد و به مهاجم اجازه میدهد تا احراز هویت را در یک Exchange Server درون سازمانی دور بزند. پس از دور زدن پروسهی احراز هویت، بهرهبرداری از آسیبپذیریهای CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065، دسترسی از راه دور به سیستم هدف را برای مهاجم امکانپذیر میکند.
دستورالعملهای آژانس CISA پس از آن منتشر شد که مایکروسافت اعلام کرد یک گروه تهدید در چین به نام HAFNIUM این آسیبپذیریها را برای سرقت اطلاعات حساس از اهداف انتخابی مورد بهرهبرداری قرار داده است. علاوه بر این، شرکت امنیت سایبری ESET نیز اعلام کرده که شواهدی از بهرهبرداری فعال از اشکال CVE-2021-26855 در دنیای واقعی توسط چندین گروه جاسوسی سایبری از جمله LuckyMouse، Tick و Calypso وجود دارد. مهاجمان با بهرهبرداری از این آسیبپذیریها دهها هزار شرکت تجاری و نهاد دولتی را در ایالات متحده، اروپا، آسیا و خاورمیانه هدف قرار دادهاند. همچنین، محققان Huntress Labs با هشدار در مورد بهرهبرداری گسترده از آسیبپذیریهای موجود در سرورهای Exchange، اعلام کردند که بیش از ۳۵۰ وب شِل در تقریباً ۲ هزار سرور آسیبپذیر شناسایی شده است.
۴ اشکال امنیتی مورد بحث در تاریخ ۲ ماه مارس توسط مایکروسافت وصله شدند. این واقعیت که مایکروسافت Exchange Server 2010 را نیز وصله کرده است، نشان میدهد که این آسیبپذیریها برای بیش از ده سال در کد این محصول وجود داشتهاند. هنوز مشخص نیست که آیا هیچ سازمان دولتی ایالات متحده در این کمپین نقض شده است یا خیر، اما دستورالعملهای CISA بر فوریت رفع این تهدید تأکید میکنند. این آژانس به شدت به سازمانها توصیه میکند که هرچه سریعتر وصلهها را اعمال کرده و یا محصول آسیبپذیر را از شبکه جدا کنند؛ چون احتمال بهرهبرداری گسترده از این آسیبپذیریها پس از افشای عمومی آنها وجود دارد.
منبع