資安部落格KrebsonSecurity報導,上周爆發的Exchange Server攻擊行動已在美國導致大量受害者,至少3萬個組織,包括州政府及公家機關發現駭入證據。
上周微軟發出安全公告,指出一個由中國政府支持的駭客組織Hafnium,正在利用Exchange Server的4項零時差漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858及CVE-2021-27065)駭入本地部署郵件系統的組織,目的在竊取私密郵件。同時也針對受影響的Exchange Server 2013、2016和2019版釋出了更新版本。
通報微軟的安全公司Volecity分析,Hafnium一旦成功駭入Exchange環境就會植入web shell程式,這種網頁程式有如後門,讓駭客得以長期從遠端控制受害組織的Exchange Server,包括竊取資訊、執行任意程式碼、或在內部網路橫向移動。
KrebsonSecurity報導,消息公布後網路上針對未修補的Exchange Server攻擊行動於數日之間驟增,兩名擔任美方國安顧問的資安專家指出,美國境內至少有30,000臺Exchange伺服器被駭,而全球也有「數十萬臺」遭到感染,每一臺伺服器大約代表一家組織。
一名研究人員透露,美國境內受害單位涵括州、市政府、信用合作社、警察局、電信公司、銀行、消防單位及非營利機構。所有受害者都是Exchange Server搭配外部存取的Outlook Web Access(OWA),而且過去幾天都未能更新Exchange。
報導引述Velocity總裁Steve Adair指出, 該公司是在1月6日首先發現攻擊行動。Adair指出,即使企業在3月4日微軟公布安全公告當天修補漏洞,Exchange Server上可能已經有web shell,而如果企業今天還沒有更新,有極高機會它的Exchange Server已經被駭。
這不是第一個懷疑這次攻擊超過微軟「有限目標式攻擊」說法的廠商。上周安全廠商Huntress分析檢查超過2000臺Exchange伺服器中,有近400臺存在公布的零時差漏洞,另有將近100臺可能有漏洞。此外,Huntress也指出,代管服務供應商的Exchange Server發現web shell程式者200臺。
Huntress並未公布受害者所在地區,但指出遍及市、郡政府、健康照護機構、金融、銀行,以及電力公司等,以及中小型企業如小型飯店、冰淇淋廠商、廚具製造商、好幾家長照社區等。
安全廠商都指出,以Exchange及設立OWA的用戶普及程度來看,受害情形恐怕相當嚴重。Huntress也懷疑現有端點安全軟體都無法防止web shell的植入。
美國網路安全暨基礎架構安全署(CISA)根據漏洞風險層級、已實際發生漏洞開採及美國政府單位使用Exchange Server的普及程度,上周五發出第2號緊急指令。CISA要求聯邦政府單位立即清查本地部署的Exchange Server環境,檢視是否有入侵指標(Indicators of Compromise,IoC)或異常情形,包括登入憑證外洩、橫向移動、滲透機制或其他後續活動,並更新Exchange Server。沒能力或沒人力檢查者,則應立即將Exchange Server從聯邦政府網域下線。
熱門新聞
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10
2024-12-08