ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “acil” ibaresi ile yayınladığı açıklamada, şirket içerisinde kullanılan Microsoft Exchange sunucularının PoxyShell güvenlik zafiyetine karşı acil olarak yamalanması konusunda uyardı. CISA yaptığı açıklamada , “Saldırganların ProxyShell güvenlik açıklarından aktif olarak yararlandıklarını ve CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 kodları ile takip edilebilen zafiyet için acil güncellemelerin yapılmasını önerdi.
Zafiyetler aşağıdaki gibidir;
- CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
- CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)
Güncelleme yapılmayan on binlerce Exchange Server hacklendi
Shodan, çoğu ABD ve Almanya’da bulunan ProxyShell açıklarını kullanan saldırılara karşı savunmasız on binlerce Exchange sunucusunu olduğunu gösterdi.
ABD merkezli güvenlik firması Huntress Labs, şimdiye kadar, saldırganlar tarafından 1.900’den fazla saldırıya uğramış Microsoft Exchange sunucusu bulunduğu ve 140’tan fazla web shell dağıtıldığını belirtti
kaynak: Çözümpark