Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用

Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks

2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。

その後、月曜日に発表された新しいデータによると、脆弱な Exchange Server の数は、2022年12月中旬の 83,946件 から、2023年1月2日に検出された 60,865件へと減少していることが示されている。

Exchange servers vulnerable to ProxyNotShell attacks
ProxyNotShell 攻撃に脆弱な Exchange Server (Shadowserver Foundation)

CVE-2022-41082/CVE-2022-41040 として追跡され、ProxyNotShell と総称されるこれら2つのセキュリティ・バグは、Exchange Server 2013/2016/2019 に影響を及ぼす。これらの脆弱性の悪用に成功した攻撃者は、侵害したサーバ上で特権昇格を取得し、任意のコード実行/リモート・コード実行が可能になる。

この脆弱性に対応するセキュリティ・アップデートを、 Microsoft は November 2022 Patch Tuesday の一環でリリースした。しかし、この ProxyNotShell 攻撃は、2022年9月から野放し状態で検出されていたという。

脅威インテリジェンス企業の GreyNoise は、進行中の ProxyNotShell の悪用を 2022年9月30日から追跡しており、ProxyNotShell のスキャン活動に関する情報と、攻撃に関連する IP アドレスのリストを提供している。

Map of Exchange servers unpatched against ProxyNotShell
ProxyNotShell に対するパッチが未適用の Exchange Server のマップ (Shadowserver Foundation)
ProxyShell/ProxyLogon の攻撃にも晒される数千の Exchange Server

Exchange Server を外部からの攻撃から保護するためには、Microsoft が 2022年11月にリリースした、ProxyNotShell パッチを適用する必要がある。同社は緩和策も提供しているが、それを回避する攻撃者が登場しているため、侵害から保護されるのは、完全にパッチを適用したサーバのみとなる。

先月に BleepingComputer が報告したように、現時点で Play ランサムウェアは、ProxyNotShell の URL リライト緩和策を回避し、Outlook Web Access (OWA) を介して、脆弱なサーバ上でリモート・コードを実行するための、新たなエクスプロイト・チェーンを使用しているようだ。

さらに悪いことに、Shodan で検索すると、オンラインで公開されている Exchange Server の数が非常に多く、2021年に最も悪用される脆弱性の上位にランクインした ProxyShell/ProxyLogon の脆弱性に対しても、パッチ未適用の数千台のサーバが存在することが判明した。

Exchange servers exposed online
オンラインに晒されている Exchange Server (Shodan)

金銭的な動機のあるサイバー犯罪グループ FIN7 が、Checkmarks と呼ばれるカスタム自動攻撃プラットフォームを開発し、Exchange Server を侵害するように設計されていることからも、Exchange Server が貴重な標的であることは明らかだ。

この自動攻撃プラットフォームを発見した、脅威情報企業である Prodaft によると、Exchange の RCE 実行/権限昇格の脆弱性 CVE-2021-34473/CVE-2021-34523/CVE-2021-31207 などがスキャンされ、悪用されているという。

FIN7 の新しいプラットフォームは、1,800,000 以上のターゲットをスキャンした後に、すでに米国を中心とした 8,147社 (16.7%) への侵入を達成している。

この、脆弱性 CVE-2022-41082 に対して Microsoft は、November 2022 Patch Tuesday で対応していますが、Play ランサムウェアが緩和策をバイパスしているようです。また、2022年12月には Rackspace の Hosted Exchange でランサムウエア攻撃が発生していますが、1月5日の DarkReading によると、ここでも ProxyNotShell 回避策が関連しているようです。なお、FIN7 による Exchange 自動攻撃は、SQL インジェクションを悪用するものであり、ProxyNotShell とは無関係と思われます。