超 6 万 Exchange 伺服器仍未复原 CVE-2022-41082 远距程序执行恶意应用软件,受 ProxyNotShell 反击的负面影响。
ProxyNotShell 反击是谷歌 Exchange 服务器中的三个安全可靠恶意应用软件的子集,即 CVE-2022-41082 和 CVE-2022-41040。反击者借助这三个恶意应用软件能在被害者 Exchange 伺服器上同时实现职权提高、同时实现任一程序执行和远距程序执行。恶意应用软件负面影响 Exchange 伺服器 2013、2016 和 2019 版。
科学研究有关人员自 2022 年 9 月起就辨认出了 ProxyNotShell 两党反击,谷歌也于 2022 年 11 月的谷歌补丁日正式发布了SP2来复原这三个安全可靠恶意应用软件。
日前,Shadowserver Foundation 安全可靠科学研究有关人员发推称,依照 Exchange 伺服器的GParted ( 伺服器的 x_owa_version header ) 推论,仍有近 7 万谷歌 Exchange 伺服器易受 ProxyNotShell 反击的负面影响。
依照 Shadowserver Foundation 1 月 2 日正式发布的新一代统计数据表明,有恶意应用软件的 Exchange 伺服器数目已从 2022 年 12 月下旬的 83,946 上升到 1 月 2 日的 60,865。
图 受 ProxyNotShell 反击负面影响的 Exchange 服务器
严重威胁情报部门子公司 GreyNoise 自 2022 年 9 月已经开始跟踪 ProxyNotShell 反击公益活动,并提供更多了 ProxyNotShell 扫描器公益活动的重要信息和与反击有关的 IP 门牌号条目。
图 受 ProxyNotShell 反击负面影响的 Exchange 伺服器世界地图
为应付潜在性的反击,科学研究有关人员提议 Exchange 伺服器采用者尽早加装谷歌 2022 年 11 月正式发布的 ProxyNotShell 插件。尽管谷歌提供更多了插件,但反击者依然能绕开插件。2022 年 1 月,Play 敲诈应用软件反击者就采用捷伊恶意应用软件借助链来绕开 ProxyNotShell URL 改写减轻举措,并透过 Outlook Web Access ( OWA ) 在有恶意应用软件的伺服器上同时实现远距程序执行。
除此之外,Shodan 搜寻结果表明有大批未复原的 Exchange 伺服器曝露在网络,数百台伺服器依然受 ProxyShell 和 ProxyLogon 反击的负面影响。
图 曝露在网络的 Exchange 伺服器
