V České republice se aktivně zneužívají zranitelnosti Microsoft Exchange Serveru (ProxyShell). Národní úřad pro kybernetickou a informační bezpečnost kvůli tomu dnes vydal upozornění. CzechMate CZ doplnili, že podle Shodanu se zranitelnosti týkají 865 serverů v Česku.
Zranitelnosti umožňují vzdálené spuštění kódu skrze chybu ve zpracování požadavku, eskalaci oprávnění skrze chybu v Exchange PowerShell Remoting a také je možný zápis souboru na server a vzdálené spuštění kódu.
“Jednotlivé zranitelnosti již byly opraveny bezpečnostními aktualizacemi vydanými v dubnu a květnu. Zranitelnosti lze ovšem nově zneužít v jejich kombinaci k útoku zvaný ProxyShell, který byl v srpnu prezentován na konferenci BlackHat USA. Obdobně jako u série zranitelností ProxyLogon z března 2021 umožňuje tento útok nahrát na server webshell, přes který může útočník vzdáleně spouštět kód s nejvyšším oprávněním a zcela tak kompromitovat daný server,” uvádí kyberúřad.
Série zranitelností má identifikátory CVE-2021–34473, CVE-2021–34523, CVE-2021–31207. Zranitelné jsou systémy Exchange Server 2013, 2016 a 2019, a to ve verzích 2013 CU 23 a nižší, 2016 CU 20 a nižší, 2019 CU 9 a nižší. Postupy, doporučení a další detaily má NÚKIB na webu.
Podle některých informací zranitelnosti Exchange Serveru zneužívá Čína. Česká republika se společně s Evropskou unií a USA proti tomu ohradila.