美联储已经从美国数百台容易受到攻击的电脑中清除了恶意的webshell文件,黑客都是通过被称为ProxyLogon Microsoft Exchange的漏洞来入侵主机的。
ProxyLogon由一组安全漏洞组成,这些漏洞会影响到微软内部版本的Exchange Server软件中的电子邮件系统。微软上个月警告说,这些漏洞正在被Hafnium高级持续性威胁(APT)组织大量利用;之后,其他研究人员也表示,还有10个甚至更多的APT组织也在利用这些漏洞进行攻击。
ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成,这些漏洞可以被同时利用,用来创建一个预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效账户凭证的情况下接管服务器。这使得他们能够访问电子邮件通信系统,他们还有机会上传一个webshell文件,还可以更进一步地攻击网络,例如部署勒索软件等。
虽然官方已经发布了补丁,但这对于那些已经被入侵了的电脑毫无作用。
司法部在周二的公告中解释说:"许多被感染了的系统的管理员已经从计算机上删除了webshell文件,但并不是所有的管理员都能这样做到,现在仍有数百个这样的webshell文件存在。"
这种紧急的情况也促使了FBI采取行动。在此次法院授权的行动中,FBI通过web shell向受影响的服务器发出了一系列命令。这些命令可以使服务器删除webshell文件(由其唯一的文件路径识别)。
司法部国家安全司助理司法部长John Demers在声明中说:"今天法院授权删除恶意webshell,表明了司法部门在积极利用我们的法律工具。"
FBI单方面采取行动调查ProxyLogon的漏洞
此次行动的其他技术细节仍然处于保密状态,但JupiterOne创始人兼CEO Erkang Zheng指出,这一行动是过去前所未有的。
他通过电子邮件表示:"让人真正感兴趣的是法院下令宣布要对有漏洞的系统进行远程修复,这是第一次发生这种情况,有了这个作为先例,以后法院可能经常会对有漏洞的系统进行修复。如今许多企业不知道他们的基础设施的安全状态是什么样的,这个问题对于首席信息安全官来说是一个巨大的挑战。"
新网科技安全研究全球副总裁Dirk Schrader指出,由于FBI在这方面缺乏透明度,出现了很多问题。
他告诉Threatpost:"这里面有几个关键问题,一个是FBI表示这一行动是因为这些受害者缺乏自己保证基础设施安全的能力,另一个是FBI推迟了一个月才通知受害者自己系统中的webshell已经被清除。"
他解释说:"这可能会引出其他的问题,因为受害者不知道他们的系统被访问了什么内容,是否在系统中安装了其他的后门,这种做法会伴随着其他一系列的问题出现。"
Horizon3.AI的客户和合作伙伴总监Monti Knode指出,从这一行动可以看出这些系统漏洞有多危险。
他通过电子邮件说:"政府的行动要以权威性为前提,直接对外宣称计算机系统'受到了损害',这已经足以让FBI不在行动执行前通知受害者,获得授权令直接执行这样的行动。虽然尚不清楚这次行动的规模(法院命令有删改),但FBI能够在不到四天的时间内执行完毕,然后对外公开发布这项工作,这说明这些被攻击的系统对于国家安全有潜在风险,这绝不是一个普通的行动。"
据FBI报道,这次行动成功删除了系统中的webshell。但是,如果组织的系统还没有打补丁,那么仍然需要打补丁。
Denmers说:"通过私营部门和其他政府机构共同的努力,我们发布了检测工具和补丁,此次行动展示了公私合作为我国网络安全带来的新的力量,毫无疑问,我们还有更多的工作要做,但也请大家不要怀疑,这些部门在网络安全中发挥着不可或缺的作用。"
新的Exchange RCE漏洞和联邦调查局的警告
这个消息是在4月补丁发布之后对外公布的,微软在4月份披露了更多的Exchange中的RCE漏洞(CVE-2021-28480到CVE-2021-28483),国家安全局发现了这些漏洞并进行了报告。同时也向联邦机构下达了在周五前为它们打补丁的任务。
Immersive Labs的网络威胁研究总监Kevin Breen警告说,针对该漏洞的攻击可能会比平时来得更快一些,因为那些恶意攻击者将能够使用现有的POC工具进行检测系统的漏洞。
他通过电子邮件补充道:"这强调了现在的网络安全对整个国家安全的重要性,情报部门和安全企业之间的界限不断模糊,最近发生了一些备受瞩目的攻击事件,很显然国家安全局现在非常想站出来积极主动的解决问题。"
本文翻译自:https://threatpost.com/fbi-proxylogon-web-shells/165400/
