CISA警告：骇客正在积极开采ProxyShell漏洞

美国网络安全及基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）上周警告，骇客正在积极开采位于Microsoft Exchange的ProxyShell漏洞，呼吁各大组织应尽速修补。

ProxyShell实际上是由3个漏洞所串连，分别是微软于4月修补的CVE-2021-34473与CVE-2021-34523，以及5月修补的CVE-2021-31207，值得注意的是，其中的CVE-2021-34473与CVE-2021-34523虽在4月就修补，但微软一直到7月才分配CVE编号给它们，可能会让许多根据CVE编号进行修补的管理人员，忽略这两个漏洞。

这3个漏洞是由台湾资安业者戴夫寇尔（Devcore）所揭露，分别属于远端程式攻击漏洞、权限扩张漏洞与安全功能绕过漏洞，它们同时影响Microsoft Exchange Server 2013、2016与2019，串连这些漏洞将允许骇客于系统上执行任意程式。

在戴夫寇尔首席研究人员蔡政达（Orange Tsai）于8月初举行的黑帽大会上，展示了ProxyShell漏洞之后，骇客即开始扫描网络上含有相关漏洞的系统，包括研究人员与骇客也都着手打造针对ProxyShell的攻击程式。

资安研究人员Kevin Beaumont指出，ProxyShell漏洞比ProxyLogon漏洞更严重，因为ProxyShell更容易开采，而且很多组织基本上并未修补。

不管是Beaumont自己设置的诱捕系统或是资安业者赛门铁克，都已发现骇客正利用ProxyShell漏洞来部署勒索软件LockFile，且根据赛门铁克的观察，7月才看到的LockFile，到了今年8月下旬就已感染全球至少10家组织。

资安业者Huntress则透过Reddit警告，已于未修补的Microsoft Exchange服务器上看到5种不同功能的恶意Web Shell，且在8月22日时，网络上至少还有1,764台尚未修补ProxyShell漏洞的Exchange服务器。

此外，截至8月22日，Huntress已于短短的4天内，看到164台Exchange服务器被成功入侵。

总之，ProxyShell漏洞现阶段显然已成为骇客的游乐园，尽快修补才是上策。