Este informe especial contiene información sobre servidores de Microsoft Exchange potencialmente vulnerables. Puede leer más sobre los antecedentes de HAFNIUM y el Informe especial anterior sobre posibles víctimas de piratería en la publicación de blog aquí. Este informe se basa en el escaneo de IPv4 realizado por DIVD, el Instituto Holandés para la Divulgación de Vulnerabilidades.
Los investigadores de DIVD realizaron algunas pruebas adicionales basadas en escaneo e identificaron servidores Exchange vulnerables a CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y/o CVE-2021-26865. Para sus últimas pruebas, utilizaron un script que determina esta vulnerabilidad en función del número de versión de Microsoft Exchange OWA y un script que realmente determina si CVE-2021-26855 es explotable.
Las pruebas se ejecutaron con el siguiente comando: “ nmap -Pn -p 443 –script ../http-vuln-exchange_v3.nse –script ../http-vuln-cve2021-26855_patched.nse –min-rtt-timeout 5 – v ”. Los scripts usados se pueden encontrar en su repositorio de github .
Si recibió una notificación, es probable que su sistema no haya sido parcheado en el momento del escaneo de DIVD y bien podría haberse visto comprometido como parte de una explotación automatizada a gran escala. Parchee Exchange y ejecute los procesos de respuesta a incidentes adecuados de inmediato.
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar. No cubren un período de tiempo específico.
En cambio, se envían informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de la ventana habitual de informes diarios de 24 horas.
Tenga en cuenta que dado que los datos que se pueden compartir durante eventos de informes únicos a veces son diferentes de los conjuntos de datos compartidos de forma estándar, este formato de informe está sujeto a cambios, principalmente mediante la adición de nuevos campos para describir mejor un conjunto de datos en particular.
CAMPOS
| timestamp | Marca de tiempo cuando se vio la IP en UTC+0 |
| ip | IP del dispositivo afectado |
| asn | A partir del dispositivo afectado |
| region | Región del dispositivo afectado |
| city | Ciudad del dispositivo afectado |
| hostname | Nombre de host del dispositivo afectado (puede ser de revDNS) |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sector | Sector de la PI en cuestión |
| tag | Etiquetas adicionales para obtener más información |
| public_source | Fuente de los datos |
| status | Estado de la IP afectada, por ejemplo, vulnerable o probablemente vulnerable |
| detail | Detalles adicionales sobre el evento |
| account | Cuenta afectada, si la hay |
EJEMPLO
"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account"
"2021-03-09 14:49:24","185.43.x.x",580,"NL","GELDERLAND","LUNTEREN",,,,"hafnium;exchange","DIVD","potentially vulnerable","(15.1.2176) Exchange 2016 potentially vulnerable, check latest security update is applied (Exchange 2016 CU18 or CU19 installed)",
"2021-03-09 14:49:24","185.194.x.x",2034,"NL","NOORD-BRABANT","WAALWIJK","example.nl",,,"hafnium;exchange","DIVD","potentially vulnerable","(15.1.2176) Exchange 2016 potentially vulnerable, check latest security update is applied (Exchange 2016 CU18 or CU19 installed)",
"2021-03-09 14:49:24","217.67.x.x",964,"NL","GELDERLAND","GENDT","example.nl",,,"hafnium;exchange","DIVD","vulnerable","(15.1.1713) Exchange 2016 VULNERABLE! (< 15.1.2106)",
"2021-03-09 14:49:24","213.125.x.x",315,"NL","LIMBURG","MAASTRICHT","example.nl",517311,"Communications, Service Provider, and Hosting Service","hafnium;exchange","DIVD","vulnerable","(15.0.1395) Exchange 2013 VULNERABLE! (< 15.0.1496)",
"2021-03-09 14:49:24","212.115.x.x",142,"NL","ZEELAND","TERNEUZEN","example.nl",,"Arts, Entertainment, and Recreation","hafnium;exchange","DIVD","vulnerable","(15.1.1261) Exchange 2016 VULNERABLE! (< 15.1.2106)",