(به‌روز شده در ۱۴۰۰/۱/۱۰) انتشار امضاهای IPS پارس‌گیت برای آسیب‌پذیری‌های Microsoft Exchange

چهارشنبه ۲۰ اسفند ۱۳۹۹ تعداد بازدید 497

حملات گسترده‌ای با بهره گیری از ۴ آسیب پذیری zero-day علیه برنامه Microsoft Exchange در جهان در جریان است. به راهبران فایروال پارس‌گیت توصیهٔ اکید می‌شود در اسرع وقت امضاهای IPS پارس‌گیت را به‌روزرسانی کنند.

(به‌روز شده در ۱۴۰۰/۱/۱۰) انتشار امضاهای IPS پارس‌گیت برای آسیب‌پذیری‌های Microsoft Exchange

براساس اطلاعیه ای که شرکت مایکروسافت اعلام نموده است، نفوذگران توانسته اند با بهره گیری از 4 آسیب پذیری zero-day حملات موثری علیه برنامه Microsoft Exchange ترتیب دهند و به حساب های ایمیل کاربران دسترسی پیدا کنند.

نسخه های تحت تاثیر و آسیب پذیری های مورد استفاده به صورت زیر است:
■ Microsoft Exchange Server 2013  
■ Microsoft Exchange Server 2016  
■ Microsoft Exchange Server 2019
■ CVE-2021-26855
■ CVE-2021-26857
■ CVE-2021-26858
■ CVE-2021-27065

برآورد های اولیه نشان می دهد که  این حمله سایبری توسط یک گروه hacker چینی با نام Hafnium انجام شده است. شرکت مایکروسافت برای حفاظت از کاربران خود چندین وصله امنیتی منتشر نموده است:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server

قابل ذکر است مهاجمین پس از سرقت اطلاعات، اقدام به نصب یک درب پشتی(backdoor) برای اجرای حملات آتی می کنند. این چهار آسیبپذیری در کنار یکدیگر، زنجیرهای از حملات را به وجود می آورد که میتواند تمامی کارگزارهای قربانی را دچار مشکل نماید.
در این راستا شرکت امن افزار گستر شریف نیز اقدام به انتشار وصله امضای سامانه تشخیص نفوذ (IPS) برای محصولات خود نموده است. قوانین موجود در این وصله می توانند ترافیک شبکه را آنالیز نموده و در صورت مواجهه با موارد بالا، راهبران شبکه را در جریان قرار دهند. راهبران شبکه می بایست با اجرای دستور زیر از آخرین وضعیت بروزرسانی وصله امضا مطلع گردند:

ParsGate>get ips currentDB
Name: PGZ-IPSSIGDB-991218-f97f0f2.bin

به‌روزرسانی ۱ (۲۳ اسفند ۱۳۹۹): شرکت امن‌افزار وصلهٔ جدیدتری منتشر کرده است که شامل امضاهای جدیدتری برای تشخیص حملات مربوط به آسیب‌پذیری‌های اخیر Microsoft Exchange توسط مؤلفهٔ IPS پارس‌گیت است. نام این وصله PGZ-IPSSIGDB-991223-c5f9ad8.bin است.

به‌روزرسانی ۲ (۲۹ اسفند ۱۳۹۹): شرکت امن‌افزار وصلهٔ جدیدتری در همین باره با نام PGZ-IPSSIGDB-991229-925a146.bin منتشر کرده است.

به‌روزرسانی ۳ (۱۰ فروردین ۱۴۰۰): شرکت امن‌افزار وصلهٔ جدیدتری در همین باره با نام  PGZ-IPSSIGDB-14000108-3ab6fe3.bin منتشر کرده است.