Zlonamjerni glumci nisu prestali nastojati iskoristiti ranjivost CVE-2020-0688 na internetskim poslužiteljima Microsoft Exchange, upozorila je nedavno Nacionalna sigurnosna agencija (NSA).
O ovoj prijetnji vjerojatno ne bi bilo ništa za pisati kući da su sve organizacije s ranjivim poslužiteljima zakrpali kako je Microsoft preporučio.
Prema Tweet-u NSA-e, hakeru su potrebne samo valjane vjerodajnice e-pošte za daljinsko izvršavanje koda na nepačiranom poslužitelju.
Daljinsko izvršavanje koda #ranjivost (CVE-2020-0688) postoji na poslužitelju Microsoft Exchange. Ako se ne zakrpi, napadač s vjerodajnicama e-pošte može izvršavati naredbe na vašem poslužitelju.
Smjernice za ublažavanje dostupne na: https://t.co/MMlBo8BsB0
- NSA / CSS (@NSAGov) 7. ožujka 2020
Glumci APT-a aktivno krše neupravljene poslužitelje
Vijesti opsežnog skeniranja za neupravljene poslužitelje MS Exchange pojavio se 25. veljače 2020. U to vrijeme nije bilo niti jednog izvještaja o uspješnom proboju poslužitelja.
No, organizacija za cyber sigurnost, Zero Day Initiative, već je objavila
dokazni koncept videozapisa, demonstrirajući kako izvršiti udaljeni napad CVE-2020-0688.Sada se čini da je potraga za izloženim poslužiteljima usmjerenim na internet urodila plodom agoniji nekoliko organizacija zatečenih. Prema više izvješća, uključujući Tweet tvrtke za cyber sigurnost, postoji aktivno iskorištavanje poslužitelja Microsoft Exchange.
Aktivno iskorištavanje poslužitelja Microsoft Exchange od strane APT-ovih aktera putem ECP-ove ranjivosti CVE-2020-0688. Ovdje saznajte više o napadima i kako zaštititi svoju organizaciju: https://t.co/fwoKvHOLaV#dfir# prijetnja#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6. ožujka 2020
Još je alarmantnije sudjelovanje glumaca Napredne uporne prijetnje (APT) u cijeloj shemi.
Tipično, APT grupe su države ili entiteti koje sponzorira država. Poznato je da imaju tehnološku i financijsku snagu da krišom napadaju neke od najočuvanijih korporativnih IT mreža ili resursa.
Microsoft je ozbiljnost ranjivosti CVE-2020-0688 ocijenio važnom prije gotovo mjesec dana. Međutim, rupa oko RCE i danas mora zavrijediti ozbiljno razmatranje, budući da NSA podsjeća tehnološki svijet na to.
Pogođeni poslužitelji MS Exchange
Obavezno zakrpite ASAP da biste spriječili potencijalnu katastrofu ako i dalje koristite nepromijenjeni MS Exchange poslužitelj okrenut prema internetu. Tamo su sigurnosna ažuriranja za pogođene verzije poslužitelja 2010, 2013, 2016 i 2019.
Prilikom objavljivanja ažuriranja, Microsoft je rekao da je predmetna ranjivost ugrozila sposobnost poslužitelja da pravilno generira ključeve provjere valjanosti tijekom instalacije. Napadač bi mogao iskoristiti tu rupu i izvršiti zlonamjeran kôd u izloženom sustavu, na daljinu.
Poznavanje ključa za provjeru valjanosti omogućuje autentificiranom korisniku s poštanskim sandučićem da proslijedi proizvoljne objekte koje će web aplikacija, koja radi kao SUSTAV, deserijalizirati.
Većina istraživača kibernetske sigurnosti vjeruje da kršenje IT sustava na ovaj način može utrti put napadima uskraćivanja usluge (DDoS). Microsoft, međutim, nije priznao primanje izvješća o takvom kršenju.
Za sada se čini da je instaliranje zakrpe jedini dostupan lijek za ranjivost poslužitelja CVE-2020-0688.
