CISA advierte a los administradores que corrijan urgentemente los errores de Exchange ProxyShell

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió su primera advertencia marcada como "urgente", advirtiendo a los administradores que parcheen los servidores locales de Microsoft Exchange contra las vulnerabilidades de ProxyShell explotadas activamente.

"Los ciber actores malintencionados están explotando activamente las siguientes vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207", CISA prevenido durante el fin de semana.

"CISA insta encarecidamente a las organizaciones a identificar los sistemas vulnerables en sus redes y aplicar de inmediato Actualización de seguridad de Microsoft de mayo de 2021—Eso soluciona las tres vulnerabilidades de ProxyShell, para proteger contra estos ataques ".

Estas tres fallas de seguridad (corregidas en abril y mayo) fueron descubiertas por el investigador de seguridad Devcore Naranja tsai, que los utilizó para comprometer un servidor de Microsoft Exchange en el concurso de piratería Pwn2Own de abril de 2021:

Aprovechado activamente por múltiples actores de amenazas

Esta advertencia se produce después de otras como advirtió a las organizaciones que defiendan sus redes de la ola de ataques que afectó a decenas de miles de organizaciones en todo el mundo en marzo, con exploits dirigidos a cuatro errores de día cero de Microsoft Exchange conocidos como ProxyLogon.

Aunque Microsoft solucionó por completo los errores de ProxyShell en mayo de 2021, no asignó ID de CVE para las tres vulnerabilidades de seguridad hasta julio, lo que impidió que algunas organizaciones que tenían servidores sin parche descubrieran que tienen sistemas vulnerables en sus redes.

Después de que se revelaron recientemente más detalles técnicos, tanto los investigadores de seguridad como los actores de amenazas podrían reproducir un exploit de ProxyShell que funcione.

Entonces, al igual que sucedió en marzo, los atacantes comenzaron a buscar y piratear servidores de Microsoft Exchange utilizando vulnerabilidades de ProxyShell.

Después de piratear servidores Exchange sin parches, las amenazas liberan shells web que les permiten cargar y ejecutar herramientas maliciosas.

Si bien las cargas útiles eran inofensivas al principio, los atacantes comenzaron a distribuir cargas útiles de ransomware LockFile distribuidas en dominios de Windows comprometidos utilizando exploits PetitPotam de Windows.

Hasta ahora, la firma de seguridad estadounidense Huntress Labs Ella dijo encontró más de 140 shells web implementados por atacantes en más de 1.900 servidores Microsoft Exchange comprometidos hasta el viernes.

Shodan también está monitoreando decenas de miles de servidores Exchange vulnerables a ataques a través de exploits ProxyShell, la mayoría de los cuales se encuentran en Estados Unidos y Alemania.

"Nuevo aumento en la explotación de los servidores de Microsoft Exchange en curso", también el director de seguridad cibernética de la NSA, Rob Joyce prevenido durante el fin de semana. "Debe asegurarse de estar actualizado y controlar si está alojando una instancia".

La NSA tiene también les recordó a los defensores este fin de semana que el guía publicada en marzo en la investigación de shell web todavía es aplicable a estos ataques en curso.

En la entrada de blog publicada por el investigador de seguridad Kevin Beaumont.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir