FBI清除了数百家网站中利用ProxyLogon漏洞的webshell

美联储已经从美国数百台容易受到攻击的电脑中清除了恶意的webshell文件，黑客都是通过被称为ProxyLogon Microsoft Exchange的漏洞来入侵主机的。

ProxyLogon由一组安全漏洞组成，这些漏洞会影响到微软内部版本的Exchange Server软件中的电子邮件系统。微软上个月警告说，这些漏洞正在被Hafnium高级持续性威胁(APT)组织大量利用;之后，其他研究人员也表示，还有10个甚至更多的APT组织也在利用这些漏洞进行攻击。

[[393554]]

ProxyLogon由四个漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)组成，这些漏洞可以被同时利用，用来创建一个预认证远程代码执行(RCE)漏洞。这意味着攻击者可以在不知道任何有效账户凭证的情况下接管服务器。这使得他们能够访问电子邮件通信系统，他们还有机会上传一个webshell文件，还可以更进一步地攻击网络，例如部署勒索软件等。

虽然官方已经发布了补丁，但这对于那些已经被入侵了的电脑毫无作用。

司法部在周二的公告中解释说：”许多被感染了的系统的管理员已经从计算机上删除了webshell文件，但并不是所有的管理员都能这样做到，现在仍有数百个这样的webshell文件存在。”

这种紧急的情况也促使了FBI采取行动。在此次法院授权的行动中，FBI通过web shell向受影响的服务器发出了一系列命令。这些命令可以使服务器删除webshell文件(由其唯一的文件路径识别)。

司法部国家安全司助理司法部长John Demers在声明中说:”今天法院授权删除恶意webshell，表明了司法部门在积极利用我们的法律工具。”

FBI单方面采取行动调查ProxyLogon的漏洞

此次行动的其他技术细节仍然处于保密状态，但JupiterOne创始人兼CEO Erkang Zheng指出，这一行动是过去前所未有的。

他通过电子邮件表示：”让人真正感兴趣的是法院下令宣布要对有漏洞的系统进行远程修复，这是第一次发生这种情况，有了这个作为先例，以后法院可能经常会对有漏洞的系统进行修复。如今许多企业不知道他们的基础设施的安全状态是什么样的，这个问题对于首席信息安全官来说是一个巨大的挑战。”

新网科技安全研究全球副总裁Dirk Schrader指出，由于FBI在这方面缺乏透明度，出现了很多问题。

他告诉Threatpost:”这里面有几个关键问题，一个是FBI表示这一行动是因为这些受害者缺乏自己保证基础设施安全的能力，另一个是FBI推迟了一个月才通知受害者自己系统中的webshell已经被清除。”

他解释说：”这可能会引出其他的问题，因为受害者不知道他们的系统被访问了什么内容，是否在系统中安装了其他的后门，这种做法会伴随着其他一系列的问题出现。”

Horizon3.AI的客户和合作伙伴总监Monti Knode指出，从这一行动可以看出这些系统漏洞有多危险。

他通过电子邮件说:”政府的行动要以权威性为前提，直接对外宣称计算机系统’受到了损害’，这已经足以让FBI不在行动执行前通知受害者，获得授权令直接执行这样的行动。虽然尚不清楚这次行动的规模(法院命令有删改)，但FBI能够在不到四天的时间内执行完毕，然后对外公开发布这项工作，这说明这些被攻击的系统对于国家安全有潜在风险，这绝不是一个普通的行动。”

据FBI报道，这次行动成功删除了系统中的webshell。但是，如果组织的系统还没有打补丁，那么仍然需要打补丁。

Denmers说：”通过私营部门和其他政府机构共同的努力，我们发布了检测工具和补丁，此次行动展示了公私合作为我国网络安全带来的新的力量，毫无疑问，我们还有更多的工作要做，但也请大家不要怀疑，这些部门在网络安全中发挥着不可或缺的作用。”