الفئة: نصائح حول نقاط الضعف، الصناعات المتأثرة، المنطقة المتأثرة المتعددة، المصدر العالمي*B2TLP#أخضرالرقم المرجعي* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability # https://en.wikipedia.org/wiki/Traffic_Light_Protocol

ملخص تنفيذي

• منصة CloudSek الرائدة لمراقبة المخاطر الرقمية الجيل السادس عشر اكتشفت منشورًا على منتدى الجرائم الإلكترونية وقواعد بيانات إعلانية يُزعم أنها تنتمي إلى Shodan و Censys و Zoomeye.
• يدعي ممثل التهديد أن عناوين IP لأنظمة هذه الشركات تحتوي على خوادم MS Exchange غير المصححة المعرضة لـ Proxy Shell.
• يقوم فريق أبحاث CloudSek Threat Intelligence بالتحقق من صحة هذا المنشور.

[معرف التسمية التوضيحية = «المرفق _17731" aligncenter «العرض ="1449"] مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية [/caption]

التحليل

معلومات من المصدر

نشر ممثل التهديد منشورًا على منتدى الجرائم الإلكترونية يشارك فيه قائمة تضم حوالي 100,000 هدف. يدعي الممثل أن 18٪ من خوادم Microsoft Exchange معرضة لـ ProxyShell، في حين أن 40٪ عرضة لـ CVE-2021-31206 الذي قامت Microsoft بتعيين الاسم له ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد لـ Microsoft Exchange Server. يدعي ممثل التهديد أنه جمع قائمة بالأنظمة الضعيفة من الشركات التالية:

• Shodan: محرك بحث يتيح للمستخدم العثور على أنواع معينة من الأنظمة المتصلة بالإنترنت باستخدام مجموعة متنوعة من الفلاتر.
• Censys: محرك بحث عام يمكّن الباحثين من طرح أسئلة سريعة حول المضيفين والشبكات التي تشكل الإنترنت.
• Zoomeye: رسم خرائط الفضاء الإلكتروني ومحرك البحث.

وفقًا للقائمة التي شاركها ممثل التهديد، فإن حوالي 100,000 هدف معرضون لثغرة ProxyLogon. والملفات التي شاركها الممثل هي بتنسيق.csv وتحتوي على حقول بيانات متعددة مثل المجال المستهدف ومزود الخدمة والبلد وما إلى ذلك. البلدان الأكثر تأثرًا هي: البلد رقم الأهداف البلد رقم الأهدافالولايات المتحدة28,029هونغ كونغ869ألمانيا17,762تركيا824المملكة المتحدة5,784اليابان822فرنسا4,246تايوان800هولندا3,964إسبانيا763كندا3,687الدنمارك751إيطاليا3,212السويد702الاتحاد الروسي3,180البرازيل640سويسرا2,818بولندا506النمسا2,686البرتغال489أستراليا2678هنغاريا482الصين1401نيوزيلندا463جمهورية التشيك1164جنوب أفريقيا406بلجيكا1096الهند358نقاط الضعف الحرجة في MS Exchange التي ذكرها ممثل التهديد هي: نقاط الضعف في سلسلة Proxylogon نقاط الضعف في سلسلة ProxyShell

• CVE-2021—26855
• CVE-2021—26857
• CVE-2021—26858
• CVE-2021—27065

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

تصنيف المصدر

• يتمتع الممثل بسمعة عالية في المنتدى.
• تبدو المعلومات التي شاركها الممثل منطقية ومتسقة.
• معظم قواعد البيانات التي شاركها الممثل في الماضي هي تسريبات مشروعة.

ومن ثم،

• يمكن تصنيف موثوقية الممثل: عادة ما تكون موثوقة (ب).
• يمكن تصنيف مصداقية الإعلان بـ «ربما تكون صحيحة» (2).

إعطاء مصداقية المصدر الشاملة لـ B2.

التأثير والتخفيف

تخفيف التأثير

• يمنح MS Exchange RCE (تنفيذ التعليمات البرمجية عن بُعد) للمهاجم القدرة على تنفيذ الأوامر على خادم ضعيف.
• يؤدي موطئ القدم الأولي إلى حركة جانبية يمكن أن تسهل الاستحواذ على الشبكة.

• قم بتثبيت تصحيحات ProxyLogon التالية:
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
• قم بتثبيت تصحيحات ProxyShell التالية:
  • KB5001779
  • KB5001779
  • KB5003435

الملحق