Güvenlik ekipleri, Microsoft Exchange sunucularını hedeflemek için birbiriyle ilişkili iki istismar zincirinden yararlanan, büyüyen fırsatçı ve büyük ölçüde hedefsiz siber saldırı dalgasına karşı tetikte olmaları konusunda uyarıldı.
Bu, Kasım 2022’nin sonundan itibaren saldırı hacimlerinde bir artış olduğunu kaydeden Bitdefender Labs’a göre. Saldırılar teknik olarak sunucu tarafı istek sahtekarlıkları (SSRF) olarak biliniyor ve hızla yaygın bir şekilde popüler hale geliyor ve siber suçlular tarafından rutin olarak istismar ediliyor. yeraltı – esas olarak Microsoft Exchange’in çok yaygın olarak kullanılması nedeniyle.
Bir SSRF saldırısında, bir tehdit aktörü, savunmasız bir sunucudan, savunmasız sunucu adına başka bir sunucuya özel hazırlanmış bir istek gönderir ve böylece doğrudan erişemedikleri kaynaklara veya bilgilere erişebilir ve savunmasız sunucu adına eylemler gerçekleştirebilir.
Şu anda aktif kullanım altında olan iki istismar zinciri var. İlki, ifşa edilmiş iki güvenlik açığı olan CVE-2022-41080 ve CVE-2022-41082’nin birleşimi olan ve tehdit aktörünün güvenlik açığı bulunan sunucuda kimlik doğrulaması yapmasını gerektiren ve Kasım 2022’de Microsoft tarafından yamalanan ProxyNotShell’dir.
İkincisi OWASSRF olarak bilinir. Bu, aynı iki güvenlik açığını kullanan, ancak ProxyNotShell azaltmalarını atlayabilecek şekilde biraz farklı olsa da, biraz farklı bir yararlanma zinciridir. OWASSRF, Aralık 2022 Rackspace saldırısında kullanıldı.
Araştırma ekibi, dünya çapında 100.000’den fazla kuruluşun son birkaç ay içinde SSRF saldırılarının kurbanı olduğunu ve kurbanların çoğunluğunun ABD ve Avrupa’da olduğunu iddia ediyor. Sanat ve eğlence, danışmanlık, hukuk, imalat, emlak ve toptan satış gibi birçok sektörde mağdurlar bulundu.
“İlk bulaşma vektörü gelişmeye devam ederken ve tehdit aktörleri her yeni fırsattan hızla yararlanırken, istismar sonrası faaliyetleri tanıdık geliyor. Bitdefender ekibi, modern siber saldırılara karşı en iyi korumanın derinlemesine savunma mimarisi olduğunu yazdı.
“Yalnızca Windows için değil, tüm uygulamalar ve internete açık hizmetler için yama yönetimine odaklanarak saldırı yüzeyinizi küçülterek başlayın ve hatalı yapılandırmaları tespit edin.
“Bir sonraki güvenlik katmanı, tüm uç noktalar için IP/URL itibarı ve dosyasız saldırılara karşı koruma da dahil olmak üzere birden çok güvenlik katmanı kullanarak çoğu güvenlik olayını ortadan kaldırabilen birinci sınıf güvenilir koruma denetimleri olmalıdır.
“IP, etki alanı ve URL itibarını uygulamak… otomatikleştirilmiş güvenlik açığı istismarlarını durdurmak için en etkili yöntemlerden biridir. daki analize göre Veri ihlali soruşturmaları raporu 2022, RCE girişiminde bulunan IP’lerin yalnızca %0,4’ü önceki saldırıların hiçbirinde görülmedi. Uç noktalar dahil tüm cihazlarda kötü IP’leri, etki alanlarını veya URL’leri engelleyin ve iş ortamınızda bir güvenlik ihlalini önleyin.
“Son olarak, savunmalarınızı aşan birkaç olay için, kurum içi veya yönetilen bir hizmet aracılığıyla güvenlik operasyonlarına güvenin ve güçlü tespit ve yanıt araçlarından yararlanın. Modern tehdit aktörleri genellikle haftalarca veya aylarca ağlar üzerinde aktif keşif yaparak, uyarılar üreterek ve algılama ve yanıt verme yeteneklerinin yokluğuna güvenerek harcıyorlar” dediler.
Bitdefender ekibi, iki istismar zincirinden yararlanan çok sayıda farklı türde siber saldırı olduğuna dair kanıt buldu.
Bunların arasında uzaktan erişim ve yönetim araçlarının konuşlandırılması, muhtemelen ilk erişim simsarları (IAB’ler) tarafından web kabuklarının kullanılması, Küba fidye yazılımının konuşlandırılması ve kimlik bilgilerinin çalınması vardı.