美聯(lián)儲已經(jīng)從美國數(shù)百臺容易受到攻擊的電腦中清除了惡意的webshell文件,黑客都是通過被稱為ProxyLogon Microsoft Exchange的漏洞來入侵主機(jī)的���。
創(chuàng)新互聯(lián)總部坐落于成都市區(qū),致力網(wǎng)站建設(shè)服務(wù)有成都做網(wǎng)站����、網(wǎng)站制作����、成都外貿(mào)網(wǎng)站建設(shè)�、網(wǎng)絡(luò)營銷策劃、網(wǎng)頁設(shè)計(jì)��、網(wǎng)站維護(hù)�����、公眾號搭建��、微信小程序開發(fā)����、軟件開發(fā)等為企業(yè)提供一整套的信息化建設(shè)解決方案。創(chuàng)造真正意義上的網(wǎng)站建設(shè)�,為互聯(lián)網(wǎng)品牌在互動行銷領(lǐng)域創(chuàng)造價(jià)值而不懈努力!
ProxyLogon由一組安全漏洞組成��,這些漏洞會影響到微軟內(nèi)部版本的Exchange Server軟件中的電子郵件系統(tǒng)��。微軟上個(gè)月警告說���,這些漏洞正在被Hafnium高級持續(xù)性威脅(APT)組織大量利用;之后�����,其他研究人員也表示�����,還有10個(gè)甚至更多的APT組織也在利用這些漏洞進(jìn)行攻擊��。
[[393554]]
ProxyLogon由四個(gè)漏洞(CVE-2021-26855����、CVE-2021-26857�����、CVE-2021-26858�、CVE-2021-27065)組成,這些漏洞可以被同時(shí)利用��,用來創(chuàng)建一個(gè)預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行(RCE)漏洞���。這意味著攻擊者可以在不知道任何有效賬戶憑證的情況下接管服務(wù)器���。這使得他們能夠訪問電子郵件通信系統(tǒng)�,他們還有機(jī)會上傳一個(gè)webshell文件����,還可以更進(jìn)一步地攻擊網(wǎng)絡(luò),例如部署勒索軟件等��。
雖然官方已經(jīng)發(fā)布了補(bǔ)丁���,但這對于那些已經(jīng)被入侵了的電腦毫無作用��。
司法部在周二的公告中解釋說:"許多被感染了的系統(tǒng)的管理員已經(jīng)從計(jì)算機(jī)上刪除了webshell文件�����,但并不是所有的管理員都能這樣做到����,現(xiàn)在仍有數(shù)百個(gè)這樣的webshell文件存在�����。"
這種緊急的情況也促使了FBI采取行動����。在此次法院授權(quán)的行動中�����,F(xiàn)BI通過web shell向受影響的服務(wù)器發(fā)出了一系列命令���。這些命令可以使服務(wù)器刪除webshell文件(由其唯一的文件路徑識別)����。
司法部國家安全司助理司法部長John Demers在聲明中說:"今天法院授權(quán)刪除惡意webshell,表明了司法部門在積極利用我們的法律工具���。"
FBI單方面采取行動調(diào)查ProxyLogon的漏洞
此次行動的其他技術(shù)細(xì)節(jié)仍然處于保密狀態(tài)��,但JupiterOne創(chuàng)始人兼CEO Erkang Zheng指出����,這一行動是過去前所未有的��。
他通過電子郵件表示:"讓人真正感興趣的是法院下令宣布要對有漏洞的系統(tǒng)進(jìn)行遠(yuǎn)程修復(fù)�����,這是第一次發(fā)生這種情況,有了這個(gè)作為先例��,以后法院可能經(jīng)常會對有漏洞的系統(tǒng)進(jìn)行修復(fù)���。如今許多企業(yè)不知道他們的基礎(chǔ)設(shè)施的安全狀態(tài)是什么樣的���,這個(gè)問題對于首席信息安全官來說是一個(gè)巨大的挑戰(zhàn)。"
新網(wǎng)科技安全研究全球副總裁Dirk Schrader指出���,由于FBI在這方面缺乏透明度�,出現(xiàn)了很多問題�����。
他告訴Threatpost:"這里面有幾個(gè)關(guān)鍵問題�����,一個(gè)是FBI表示這一行動是因?yàn)檫@些受害者缺乏自己保證基礎(chǔ)設(shè)施安全的能力����,另一個(gè)是FBI推遲了一個(gè)月才通知受害者自己系統(tǒng)中的webshell已經(jīng)被清除。"
他解釋說:"這可能會引出其他的問題,因?yàn)槭芎φ卟恢浪麄兊南到y(tǒng)被訪問了什么內(nèi)容���,是否在系統(tǒng)中安裝了其他的后門��,這種做法會伴隨著其他一系列的問題出現(xiàn)�����。"
Horizon3.AI的客戶和合作伙伴總監(jiān)Monti Knode指出���,從這一行動可以看出這些系統(tǒng)漏洞有多危險(xiǎn)。
他通過電子郵件說:"政府的行動要以權(quán)威性為前提��,直接對外宣稱計(jì)算機(jī)系統(tǒng)'受到了損害'����,這已經(jīng)足以讓FBI不在行動執(zhí)行前通知受害者��,獲得授權(quán)令直接執(zhí)行這樣的行動����。雖然尚不清楚這次行動的規(guī)模(法院命令有刪改),但FBI能夠在不到四天的時(shí)間內(nèi)執(zhí)行完畢�,然后對外公開發(fā)布這項(xiàng)工作,這說明這些被攻擊的系統(tǒng)對于國家安全有潛在風(fēng)險(xiǎn),這絕不是一個(gè)普通的行動�����。"
據(jù)FBI報(bào)道����,這次行動成功刪除了系統(tǒng)中的webshell。但是�,如果組織的系統(tǒng)還沒有打補(bǔ)丁,那么仍然需要打補(bǔ)丁�����。
Denmers說:"通過私營部門和其他政府機(jī)構(gòu)共同的努力���,我們發(fā)布了檢測工具和補(bǔ)丁��,此次行動展示了公私合作為我國網(wǎng)絡(luò)安全帶來的新的力量��,毫無疑問��,我們還有更多的工作要做����,但也請大家不要懷疑,這些部門在網(wǎng)絡(luò)安全中發(fā)揮著不可或缺的作用��。"
新的Exchange RCE漏洞和聯(lián)邦調(diào)查局的警告
這個(gè)消息是在4月補(bǔ)丁發(fā)布之后對外公布的����,微軟在4月份披露了更多的Exchange中的RCE漏洞(CVE-2021-28480到CVE-2021-28483),國家安全局發(fā)現(xiàn)了這些漏洞并進(jìn)行了報(bào)告�����。同時(shí)也向聯(lián)邦機(jī)構(gòu)下達(dá)了在周五前為它們打補(bǔ)丁的任務(wù)�����。
Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kevin Breen警告說���,針對該漏洞的攻擊可能會比平時(shí)來得更快一些���,因?yàn)槟切阂夤粽邔⒛軌蚴褂矛F(xiàn)有的POC工具進(jìn)行檢測系統(tǒng)的漏洞����。
他通過電子郵件補(bǔ)充道:"這強(qiáng)調(diào)了現(xiàn)在的網(wǎng)絡(luò)安全對整個(gè)國家安全的重要性,情報(bào)部門和安全企業(yè)之間的界限不斷模糊�,最近發(fā)生了一些備受矚目的攻擊事件,很顯然國家安全局現(xiàn)在非常想站出來積極主動的解決問題。"
本文翻譯自:https://threatpost.com/fbi-proxylogon-web-shells/165400/
文章題目:FBI清除了數(shù)百家網(wǎng)站中利用ProxyLogon漏洞的webshell
標(biāo)題鏈接:
http://uogjgqi.cn/article/copeipc.html
