美聯(lián)儲(chǔ)已經(jīng)從美國數(shù)百臺(tái)容易受到攻擊的電腦中清除了惡意的 webshell 文件,黑客都是通過被稱為 ProxyLogon Microsoft Exchange 的漏洞來入侵主機(jī)的。
ProxyLogon 由一組安全漏洞組成,這些漏洞會(huì)影響到微軟內(nèi)部版本的 Exchange Server 軟件中的電子郵件系統(tǒng)。微軟上個(gè)月警告說,這些漏洞正在被 Hafnium 高級(jí)持續(xù)性威脅 ( APT ) 組織大量利用;之后,其他研究人員也表示,還有 10 個(gè)甚至更多的 APT 組織也在利用這些漏洞進(jìn)行攻擊。
ProxyLogon 由四個(gè)漏洞 ( CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065 ) 組成,這些漏洞可以被同時(shí)利用,用來創(chuàng)建一個(gè)預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行 ( RCE ) 漏洞。這意味著攻擊者可以在不知道任何有效賬戶憑證的情況下接管服務(wù)器。這使得他們能夠訪問電子郵件通信系統(tǒng),他們還有機(jī)會(huì)上傳一個(gè) webshell 文件,還可以更進(jìn)一步地攻擊網(wǎng)絡(luò),例如部署勒索軟件等。
雖然官方已經(jīng)發(fā)布了補(bǔ)丁,但這對(duì)于那些已經(jīng)被入侵了的電腦毫無作用。
司法部在周二的公告中解釋說:" 許多被感染了的系統(tǒng)的管理員已經(jīng)從計(jì)算機(jī)上刪除了 webshell 文件,但并不是所有的管理員都能這樣做到,現(xiàn)在仍有數(shù)百個(gè)這樣的 webshell 文件存在。"
這種緊急的情況也促使了 FBI 采取行動(dòng)。在此次法院授權(quán)的行動(dòng)中,F(xiàn)BI 通過 web shell 向受影響的服務(wù)器發(fā)出了一系列命令。這些命令可以使服務(wù)器刪除 webshell 文件(由其唯一的文件路徑識(shí)別)。
司法部國家安全司助理司法部長(zhǎng) John Demers 在聲明中說 :" 今天法院授權(quán)刪除惡意 webshell,表明了司法部門在積極利用我們的法律工具。"
FBI 單方面采取行動(dòng)調(diào)查 ProxyLogon 的漏洞
此次行動(dòng)的其他技術(shù)細(xì)節(jié)仍然處于保密狀態(tài),但 JupiterOne 創(chuàng)始人兼 CEO Erkang Zheng 指出,這一行動(dòng)是過去前所未有的。
他通過電子郵件表示:" 讓人真正感興趣的是法院下令宣布要對(duì)有漏洞的系統(tǒng)進(jìn)行遠(yuǎn)程修復(fù),這是第一次發(fā)生這種情況,有了這個(gè)作為先例,以后法院可能經(jīng)常會(huì)對(duì)有漏洞的系統(tǒng)進(jìn)行修復(fù)。如今許多企業(yè)不知道他們的基礎(chǔ)設(shè)施的安全狀態(tài)是什么樣的,這個(gè)問題對(duì)于首席信息安全官來說是一個(gè)巨大的挑戰(zhàn)。"
新網(wǎng)科技安全研究全球副總裁 Dirk Schrader 指出,由于 FBI 在這方面缺乏透明度,出現(xiàn)了很多問題。
他告訴 Threatpost:" 這里面有幾個(gè)關(guān)鍵問題,一個(gè)是 FBI 表示這一行動(dòng)是因?yàn)檫@些受害者缺乏自己保證基礎(chǔ)設(shè)施安全的能力,另一個(gè)是 FBI 推遲了一個(gè)月才通知受害者自己系統(tǒng)中的 webshell 已經(jīng)被清除。"
他解釋說:" 這可能會(huì)引出其他的問題,因?yàn)槭芎φ卟恢浪麄兊南到y(tǒng)被訪問了什么內(nèi)容,是否在系統(tǒng)中安裝了其他的后門,這種做法會(huì)伴隨著其他一系列的問題出現(xiàn)。"
Horizon3.AI 的客戶和合作伙伴總監(jiān) Monti Knode 指出,從這一行動(dòng)可以看出這些系統(tǒng)漏洞有多危險(xiǎn)。
他通過電子郵件說 :" 政府的行動(dòng)要以權(quán)威性為前提,直接對(duì)外宣稱計(jì)算機(jī)系統(tǒng) ' 受到了損害 ',這已經(jīng)足以讓 FBI 不在行動(dòng)執(zhí)行前通知受害者,獲得授權(quán)令直接執(zhí)行這樣的行動(dòng)。雖然尚不清楚這次行動(dòng)的規(guī)模(法院命令有刪改),但 FBI 能夠在不到四天的時(shí)間內(nèi)執(zhí)行完畢,然后對(duì)外公開發(fā)布這項(xiàng)工作,這說明這些被攻擊的系統(tǒng)對(duì)于國家安全有潛在風(fēng)險(xiǎn),這絕不是一個(gè)普通的行動(dòng)。"
據(jù) FBI 報(bào)道,這次行動(dòng)成功刪除了系統(tǒng)中的 webshell。但是,如果組織的系統(tǒng)還沒有打補(bǔ)丁,那么仍然需要打補(bǔ)丁。
Denmers 說:" 通過私營部門和其他政府機(jī)構(gòu)共同的努力,我們發(fā)布了檢測(cè)工具和補(bǔ)丁,此次行動(dòng)展示了公私合作為我國網(wǎng)絡(luò)安全帶來的新的力量,毫無疑問,我們還有更多的工作要做,但也請(qǐng)大家不要懷疑,這些部門在網(wǎng)絡(luò)安全中發(fā)揮著不可或缺的作用。"
新的 Exchange RCE 漏洞和聯(lián)邦調(diào)查局的警告
這個(gè)消息是在 4 月補(bǔ)丁發(fā)布之后對(duì)外公布的,微軟在 4 月份披露了更多的 Exchange 中的 RCE 漏洞(CVE-2021-28480 到 CVE-2021-28483),國家安全局發(fā)現(xiàn)了這些漏洞并進(jìn)行了報(bào)告。同時(shí)也向聯(lián)邦機(jī)構(gòu)下達(dá)了在周五前為它們打補(bǔ)丁的任務(wù)。
Immersive Labs 的網(wǎng)絡(luò)威脅研究總監(jiān) Kevin Breen 警告說,針對(duì)該漏洞的攻擊可能會(huì)比平時(shí)來得更快一些,因?yàn)槟切阂夤粽邔⒛軌蚴褂矛F(xiàn)有的 POC 工具進(jìn)行檢測(cè)系統(tǒng)的漏洞。
他通過電子郵件補(bǔ)充道:" 這強(qiáng)調(diào)了現(xiàn)在的網(wǎng)絡(luò)安全對(duì)整個(gè)國家安全的重要性,情報(bào)部門和安全企業(yè)之間的界限不斷模糊,最近發(fā)生了一些備受矚目的攻擊事件,很顯然國家安全局現(xiàn)在非常想站出來積極主動(dòng)的解決問題。"
