美聯(lián)儲(chǔ)已經(jīng)從美國(guó)數(shù)百臺(tái)容易受到攻擊的電腦中清除了惡意的webshell文件，黑客都是通過(guò)被稱(chēng)為ProxyLogon Microsoft Exchange的漏洞來(lái)入侵主機(jī)的。

ProxyLogon由一組安全漏洞組成，這些漏洞會(huì)影響到微軟內(nèi)部版本的Exchange Server軟件中的電子郵件系統(tǒng)。微軟上個(gè)月警告說(shuō)，這些漏洞正在被Hafnium高級(jí)持續(xù)性威脅(APT)組織大量利用;之后，其他研究人員也表示，還有10個(gè)甚至更多的APT組織也在利用這些漏洞進(jìn)行攻擊。

[[393554]]

ProxyLogon由四個(gè)漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)組成，這些漏洞可以被同時(shí)利用，用來(lái)創(chuàng)建一個(gè)預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。這意味著攻擊者可以在不知道任何有效賬戶(hù)憑證的情況下接管服務(wù)器。這使得他們能夠訪(fǎng)問(wèn)電子郵件通信系統(tǒng)，他們還有機(jī)會(huì)上傳一個(gè)webshell文件，還可以更進(jìn)一步地攻擊網(wǎng)絡(luò)，例如部署勒索軟件等。

雖然官方已經(jīng)發(fā)布了補(bǔ)丁，但這對(duì)于那些已經(jīng)被入侵了的電腦毫無(wú)作用。

司法部在周二的公告中解釋說(shuō)："許多被感染了的系統(tǒng)的管理員已經(jīng)從計(jì)算機(jī)上刪除了webshell文件，但并不是所有的管理員都能這樣做到，現(xiàn)在仍有數(shù)百個(gè)這樣的webshell文件存在。"

這種緊急的情況也促使了FBI采取行動(dòng)。在此次法院授權(quán)的行動(dòng)中，F(xiàn)BI通過(guò)web shell向受影響的服務(wù)器發(fā)出了一系列命令。這些命令可以使服務(wù)器刪除webshell文件(由其唯一的文件路徑識(shí)別)。

司法部國(guó)家安全司助理司法部長(zhǎng)John Demers在聲明中說(shuō):"今天法院授權(quán)刪除惡意webshell，表明了司法部門(mén)在積極利用我們的法律工具。"

FBI單方面采取行動(dòng)調(diào)查ProxyLogon的漏洞

此次行動(dòng)的其他技術(shù)細(xì)節(jié)仍然處于保密狀態(tài)，但JupiterOne創(chuàng)始人兼CEO Erkang Zheng指出，這一行動(dòng)是過(guò)去前所未有的。

他通過(guò)電子郵件表示："讓人真正感興趣的是法院下令宣布要對(duì)有漏洞的系統(tǒng)進(jìn)行遠(yuǎn)程修復(fù)，這是第一次發(fā)生這種情況，有了這個(gè)作為先例，以后法院可能經(jīng)常會(huì)對(duì)有漏洞的系統(tǒng)進(jìn)行修復(fù)。如今許多企業(yè)不知道他們的基礎(chǔ)設(shè)施的安全狀態(tài)是什么樣的，這個(gè)問(wèn)題對(duì)于首席信息安全官來(lái)說(shuō)是一個(gè)巨大的挑戰(zhàn)。"

新網(wǎng)科技安全研究全球副總裁Dirk Schrader指出，由于FBI在這方面缺乏透明度，出現(xiàn)了很多問(wèn)題。

他告訴Threatpost:"這里面有幾個(gè)關(guān)鍵問(wèn)題，一個(gè)是FBI表示這一行動(dòng)是因?yàn)檫@些受害者缺乏自己保證基礎(chǔ)設(shè)施安全的能力，另一個(gè)是FBI推遲了一個(gè)月才通知受害者自己系統(tǒng)中的webshell已經(jīng)被清除。"

他解釋說(shuō)："這可能會(huì)引出其他的問(wèn)題，因?yàn)槭芎φ卟恢浪麄兊南到y(tǒng)被訪(fǎng)問(wèn)了什么內(nèi)容，是否在系統(tǒng)中安裝了其他的后門(mén)，這種做法會(huì)伴隨著其他一系列的問(wèn)題出現(xiàn)。"

Horizon3.AI的客戶(hù)和合作伙伴總監(jiān)Monti Knode指出，從這一行動(dòng)可以看出這些系統(tǒng)漏洞有多危險(xiǎn)。

他通過(guò)電子郵件說(shuō):"政府的行動(dòng)要以權(quán)威性為前提，直接對(duì)外宣稱(chēng)計(jì)算機(jī)系統(tǒng)'受到了損害'，這已經(jīng)足以讓FBI不在行動(dòng)執(zhí)行前通知受害者，獲得授權(quán)令直接執(zhí)行這樣的行動(dòng)。雖然尚不清楚這次行動(dòng)的規(guī)模(法院命令有刪改)，但FBI能夠在不到四天的時(shí)間內(nèi)執(zhí)行完畢，然后對(duì)外公開(kāi)發(fā)布這項(xiàng)工作，這說(shuō)明這些被攻擊的系統(tǒng)對(duì)于國(guó)家安全有潛在風(fēng)險(xiǎn)，這絕不是一個(gè)普通的行動(dòng)。"

據(jù)FBI報(bào)道，這次行動(dòng)成功刪除了系統(tǒng)中的webshell。但是，如果組織的系統(tǒng)還沒(méi)有打補(bǔ)丁，那么仍然需要打補(bǔ)丁。

Denmers說(shuō)："通過(guò)私營(yíng)部門(mén)和其他政府機(jī)構(gòu)共同的努力，我們發(fā)布了檢測(cè)工具和補(bǔ)丁，此次行動(dòng)展示了公私合作為我國(guó)網(wǎng)絡(luò)安全帶來(lái)的新的力量，毫無(wú)疑問(wèn)，我們還有更多的工作要做，但也請(qǐng)大家不要懷疑，這些部門(mén)在網(wǎng)絡(luò)安全中發(fā)揮著不可或缺的作用。"

新的Exchange RCE漏洞和聯(lián)邦調(diào)查局的警告

這個(gè)消息是在4月補(bǔ)丁發(fā)布之后對(duì)外公布的，微軟在4月份披露了更多的Exchange中的RCE漏洞(CVE-2021-28480到CVE-2021-28483)，國(guó)家安全局發(fā)現(xiàn)了這些漏洞并進(jìn)行了報(bào)告。同時(shí)也向聯(lián)邦機(jī)構(gòu)下達(dá)了在周五前為它們打補(bǔ)丁的任務(wù)。

Immersive Labs的網(wǎng)絡(luò)威脅研究總監(jiān)Kevin Breen警告說(shuō)，針對(duì)該漏洞的攻擊可能會(huì)比平時(shí)來(lái)得更快一些，因?yàn)槟切阂夤粽邔⒛軌蚴褂矛F(xiàn)有的POC工具進(jìn)行檢測(cè)系統(tǒng)的漏洞。

他通過(guò)電子郵件補(bǔ)充道："這強(qiáng)調(diào)了現(xiàn)在的網(wǎng)絡(luò)安全對(duì)整個(gè)國(guó)家安全的重要性，情報(bào)部門(mén)和安全企業(yè)之間的界限不斷模糊，最近發(fā)生了一些備受矚目的攻擊事件，很顯然國(guó)家安全局現(xiàn)在非常想站出來(lái)積極主動(dòng)的解決問(wèn)題。"

本文翻譯自：https://threatpost.com/fbi-proxylogon-web-shells/165400/