Decenas de miles de servidores de Microsoft Exchange (se abre en una pestaña nueva) aún son vulnerables a una falla de alta gravedad utilizada en las vulnerabilidades de ProxyNotShell, advirtieron los investigadores.
Los investigadores de ciberseguridad de la Fundación Shadowserver dijeron que casi 70,000 IP eran vulnerables a CVE-2022-41082, una vulnerabilidad de ejecución remota de código (RCE) parcheada a principios de noviembre del año pasado.
En el momento de la publicación, los datos de Shadowserver muestran al menos 57,000 IP vulnerables, aunque la información viene con un descargo de responsabilidad de que los resultados se «calcularon sumando recuentos de IP únicas, lo que significa que una IP» única «puede haberse contado más de una vez».
Mitigaciones y parches
«Cualquier cifra debe tratarse como indicativa en lugar de exacta», dijo Shadowserver; sin embargo, las cifras decrecientes podrían ser una indicación de una tendencia positiva.
Hay dos vulnerabilidades de alta gravedad que se denominaron ProxyNotShell: la CVE-2022-41082 mencionada anteriormente y la CVE-2022-41040, una falla de elevación de privilegios que también se corrigió a principios de noviembre. Los puntos finales afectados incluyen Exchange Server 2013, 2016 y 2019.
Si bien hay mitigaciones disponibles, los investigadores instan a los profesionales de TI a aplicar el parche en su lugar, ya que las mitigaciones se pueden solucionar. Un informe de BleepingEquipo vio a los operadores de ransomware usar una cadena de explotación recién descubierta para evitar ciertas mitigaciones de ProxyNotShell y ejecutar código malicioso de forma remota en los dispositivos de destino.
Los servidores de intercambio son valiosos para los piratas informáticos y, como tales, a menudo son el objetivo. Por ejemplo, el infame grupo LockBit fue descubierto recientemente implementando malware a través de servidores Exchange comprometidos. El verano pasado, dos servidores pertenecientes a una empresa se infectaron con LockBit 3.0. Según el informe, los atacantes primero implementaron web shell, luego aumentaron los privilegios al administrador de Active Directory una semana después, robaron unos 1,3 TB de datos y cifraron los sistemas alojados en la red.
A fines del año pasado, los investigadores descubrieron una campaña maliciosa que también intentaba explotar la vulnerabilidad ProxyShell ya corregida en Microsoft Exchange.
Vía: BleepingComputer (se abre en una pestaña nueva)