Lebih dari 60.000 server Microsoft Exchange yang terpapar secara online belum ditambal terhadap kerentanan eksekusi kode remote (RCE) CVE-2022-41082, salah satu dari dua kelemahan keamanan yang ditargetkan oleh eksploitasi ProxyNotShell.
Menurut sebuah organisasi nirlaba yang didedikasikan untuk meningkatkan keamanan internet, Shadowserver Foundation, hampir 70.000 server Microsoft Exchange rentan terhadap serangan ProxyNotShell menurut informasi versi (header x_owa_version server).
Namun, data terbaru menunjukkan penurunan jumlah server Exchange yang rentan dari 83.946 pada pertengahan Desember menjadi 60.865 pada tanggal 2 Januari.
Kedua bug keamanan tersebut dilacak sebagai CVE-2022-41082 dan CVE-2022-41040 dan secara kolektif dikenal sebagai ProxyNotShell, memengaruhi Exchange Server 2013, 2016, dan 2019.
Jika berhasil dieksploitasi, penyerang dapat meningkatkan hak istimewa dan mendapatkan eksekusi kode arbitrer atau jarak jauh pada server yang disusupi.
Perusahaan Intelijen Ancaman, GreyNoise, telah melacak eksploitasi ProxyNotShell dan memberikan informasi tentang aktivitas pemindaian ProxyNotShell dan daftar alamat IP yang terkait dengan serangan tersebut.
Melindungi server Exchange dari serangan masuk adalah dengan menerapkan tambalan ProxyNotShell yang dirilis oleh Microsoft pada bulan November.
Aktor ancaman ransomware Play saat ini menggunakan rantai eksploit baru untuk mem-bypass mitigasi penulisan ulang URL ProxyNotShell dan mendapatkan eksekusi kode jarak jauh pada server yang rentan melalui Outlook Web Access (OWA).
Perusahaan intelijen ancaman, Prodaft, memindai dan mengeksploitasi berbagai eksekusi kode jarak jauh Microsoft Exchange dan kerentanan elevasi hak istimewa, seperti CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.
Selengkapnya: BleepingComputer