Categoria: Consultoria sobre vulnerabilidades, indústrias afetadas, várias regiões afetadas, fonte global*B2TLP#VERDEReferência* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability # https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Sumário executivo

• A principal plataforma digital de monitoramento de risco da CloudSEK XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos, anunciando bancos de dados supostamente pertencentes a Shodan, Censys e Zoomeye.
• O agente da ameaça afirma que os endereços IP dos sistemas dessas empresas têm servidores MS Exchange não corrigidos que são vulneráveis ao Proxy Shell.
• A equipe de pesquisa de inteligência de ameaças do CloudSEK está validando a autenticidade desta postagem.

[caption id="attachment_17731" align="aligncenter” width="1449"] Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]

Análise

Informações da fonte

O agente da ameaça publicou uma postagem no fórum de crimes cibernéticos compartilhando uma lista de aproximadamente 100.000 alvos. O ator afirma que 18% dos servidores Microsoft Exchange são vulneráveis ao ProxyShell, enquanto 40% são vulneráveis ao CVE-2021-31206 ao qual a Microsoft atribuiu o nome como Vulnerabilidade de execução remota de código do Microsoft Exchange Server. O agente da ameaça afirma ter coletado uma lista de sistemas vulneráveis das seguintes empresas:

• Shodan: um mecanismo de busca que permite ao usuário encontrar tipos específicos de sistemas conectados à Internet usando uma variedade de filtros.
• Censys: um mecanismo de busca público que permite aos pesquisadores fazer perguntas rapidamente sobre os hosts e as redes que compõem a Internet.
• Zoomeye: mapeamento do ciberespaço e mecanismo de busca.

De acordo com a lista compartilhada pelo agente de ameaças, cerca de 100.000 alvos estão vulneráveis à vulnerabilidade do ProxyLogon. E os arquivos compartilhados pelo ator estão no formato.csv e contêm vários campos de dados, como domínio de destino, provedor de serviços, país etc. Os principais países afetados são: PaísNº de alvosPaísNº de alvosEstados Unidos28.029Hong Kong869Alemanha17.762Turquia824Reino Unido5.784Japão822França4.246Taiwan800Holanda3.964Espanha763Canadá3.687Dinamarca751Itália3.212Suécia702Federação Russa3.180Brasil640Suíça2.818Polônia506Áustria2.686Portugal489Austrália2678Hungria482China1401Nova Zelândia463República Tcheca1164África do Sul406Bélgica1096Índia358As vulnerabilidades críticas do MS Exchange mencionadas pelo agente da ameaça são: Vulnerabilidades da cadeia do ProxyLogonVulnerabilidades da cadeia do ProxyShell

• CVE-2021—26855
• CVE-2021—26857
• CVE-2021—26858
• CVE-2021—27065

• CVE-2021-34473
• CVE-2021-34523
• CVE-2021-31207

Classificação da fonte

• O ator tem uma grande reputação no fórum.
• As informações compartilhadas pelo ator parecem lógicas e consistentes.
• A maioria dos bancos de dados que o ator compartilhou no passado são vazamentos legítimos.

Portanto,

• A confiabilidade do ator pode ser classificada como Normalmente Confiável (B).
• A credibilidade do anúncio pode ser classificada como Possivelmente Verdadeira (2).

Dando credibilidade geral à fonte do B2.

Impacto e mitigação

Mitigação de impacto

• O MS Exchange RCE (Execução Remota de Código) permite que um invasor execute comandos em um servidor vulnerável.
• A posição inicial leva a um movimento lateral que poderia facilitar a aquisição da rede.

• Instale os seguintes patches do ProxyLogon:
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
  • KB5000871
• Instale os seguintes patches do ProxyShell:
  • KB5001779
  • KB5001779
  • KB5003435

Apêndice