Informe Especial Sobre Servidores Exchange Vulnerables #3 (Vulnerable Exchange Servers Special Report #3)

Los ataques contra servidores de Microsoft Exchange potencialmente vulnerables continúan y se volvieron mucho más fáciles de realizar después de que se publicó en línea el código de explotación CVE-2021-26855 ProxyLogon Exploit, trasladando los incidentes de APT a las principales actividades de ciberdelincuencia. Puede leer más sobre los antecedentes de HAFNIUM y los informes especiales anteriores sobre servidores de Microsoft Exchange potencialmente vulnerables en las publicaciones de blog recientes:

  1. HAFNIUM atribuyó víctimas de Exchange (2021-02-26 a 2021-03-03, lanzamiento previo al parche)
  2. Exchange Scanning #1: explotación masiva (2021-03-09, lanzamiento posterior al parche)
  3. Exchange Scanning #2: shells web confirmados (2021-03-12, lanzamiento posterior al parche)

Este informe especial identifica servidores de Microsoft Exchange potencialmente vulnerables adicionales durante el período 2021-03-13 a 2021-03-14, y se comparte fuera del proceso normal de informes de red diarios gratuitos.

Los informes especiales de Shadowserver son diferentes a todos nuestros otros informes de red diarios gratuitos estándar . No cubren un período de tiempo específico.

En cambio, se envían informes especiales en situaciones en las que se pueden compartir conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público. A veces, hay incidentes en los que sería útil poder notificar a las posibles víctimas sobre eventos o infracciones que pueden haberlas afectado fuera del período anterior de 24 horas, por ejemplo, durante eventos de alto perfil como la cadena de suministro de Solarwinds Orion/SUNBURST o HAFNIUM. /Infracciones masivas de Microsoft Exchange Server, en las que los respondedores de incidentes pueden tardar varios días en realizar investigaciones forenses y los datos analizados están disponibles para compartirlos con posibles víctimas. Aunque los eventos incluidos en estos Informes Especiales estarán fuera de la ventana habitual de informes diarios de 24 horas.

Tenga en cuenta que dado que los datos que se pueden compartir durante eventos de informes únicos a veces son diferentes de los conjuntos de datos compartidos de forma estándar, este formato de informe está sujeto a cambios, principalmente mediante la adición de nuevos campos para describir mejor un conjunto de datos en particular.

CAMPOS

timestampMarca de tiempo cuando se vio la IP en UTC+0
ipIP del dispositivo afectado
asnA partir del dispositivo afectado
regionRegión del dispositivo afectado
cityCiudad del dispositivo afectado
hostnameNombre de host del dispositivo afectado (puede ser de revDNS)
naicsCódigo del sistema de clasificación de la industria de América del Norte
sectorSector de la PI en cuestión
tagEtiquetas adicionales para obtener más información
public_sourceFuente de los datos
statusEstado de la IP afectada, por ejemplo, vulnerable o probablemente vulnerable
detailDetalles adicionales sobre el evento
accountCuenta afectada, si la hay

EJEMPLO

"timestamp","ip","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","detail","account"
"2021-03-13 00:00:00","46.165.xxx.xxx",42652,"DE","RHEINLAND-PFALZ","KATZWEILER","012-132-165-046.ip-addr.inexio.net",,,"exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","23.84.xxx.xxx,20115,"US","MISSOURI","ST LOUIS","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.107.xxx.xxx",20115,"US","MISSOURI","FENTON","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.107.xxx.xxx",20115,"US","MISSOURI","ST LOUIS","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,
"2021-03-13 00:00:00","24.158.xxx.xxx",20115,"US","MINNESOTA","DULUTH","xxx.xxx.spectrum.com",517311,"Communications, Service Provider, and Hosting Service","exchange",,"potentially vulnerable",,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-exchange-servers-special-report-3/