美聯儲已經從美國數百臺容易受到攻擊的電腦中清除了惡意的webshell文件，黑客都是通過被稱為ProxyLogon Microsoft Exchange的漏洞來入侵主機的。

ProxyLogon由一組安全漏洞組成，這些漏洞會影響到微軟內部版本的Exchange Server軟件中的電子郵件系統。微軟上個月警告說，這些漏洞正在被Hafnium高級持續性威脅(APT)組織大量利用;之后，其他研究人員也表示，還有10個甚至更多的APT組織也在利用這些漏洞進行攻擊。

[[393554]]

ProxyLogon由四個漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)組成，這些漏洞可以被同時利用，用來創建一個預認證遠程代碼執行(RCE)漏洞。這意味著攻擊者可以在不知道任何有效賬戶憑證的情況下接管服務器。這使得他們能夠訪問電子郵件通信系統，他們還有機會上傳一個webshell文件，還可以更進一步地攻擊網絡，例如部署勒索軟件等。

雖然官方已經發布了補丁，但這對于那些已經被入侵了的電腦毫無作用。

司法部在周二的公告中解釋說："許多被感染了的系統的管理員已經從計算機上刪除了webshell文件，但并不是所有的管理員都能這樣做到，現在仍有數百個這樣的webshell文件存在。"

這種緊急的情況也促使了FBI采取行動。在此次法院授權的行動中，FBI通過web shell向受影響的服務器發出了一系列命令。這些命令可以使服務器刪除webshell文件(由其唯一的文件路徑識別)。

司法部國家安全司助理司法部長John Demers在聲明中說:"今天法院授權刪除惡意webshell，表明了司法部門在積極利用我們的法律工具。"

FBI單方面采取行動調查ProxyLogon的漏洞

此次行動的其他技術細節仍然處于保密狀態，但JupiterOne創始人兼CEO Erkang Zheng指出，這一行動是過去前所未有的。

他通過電子郵件表示："讓人真正感興趣的是法院下令宣布要對有漏洞的系統進行遠程修復，這是第一次發生這種情況，有了這個作為先例，以后法院可能經常會對有漏洞的系統進行修復。如今許多企業不知道他們的基礎設施的安全狀態是什么樣的，這個問題對于首席信息安全官來說是一個巨大的挑戰。"

新網科技安全研究全球副總裁Dirk Schrader指出，由于FBI在這方面缺乏透明度，出現了很多問題。

他告訴Threatpost:"這里面有幾個關鍵問題，一個是FBI表示這一行動是因為這些受害者缺乏自己保證基礎設施安全的能力，另一個是FBI推遲了一個月才通知受害者自己系統中的webshell已經被清除。"

他解釋說："這可能會引出其他的問題，因為受害者不知道他們的系統被訪問了什么內容，是否在系統中安裝了其他的后門，這種做法會伴隨著其他一系列的問題出現。"

Horizon3.AI的客戶和合作伙伴總監Monti Knode指出，從這一行動可以看出這些系統漏洞有多危險。

他通過電子郵件說:"政府的行動要以權威性為前提，直接對外宣稱計算機系統'受到了損害'，這已經足以讓FBI不在行動執行前通知受害者，獲得授權令直接執行這樣的行動。雖然尚不清楚這次行動的規模(法院命令有刪改)，但FBI能夠在不到四天的時間內執行完畢，然后對外公開發布這項工作，這說明這些被攻擊的系統對于國家安全有潛在風險，這絕不是一個普通的行動。"

據FBI報道，這次行動成功刪除了系統中的webshell。但是，如果組織的系統還沒有打補丁，那么仍然需要打補丁。

Denmers說："通過私營部門和其他政府機構共同的努力，我們發布了檢測工具和補丁，此次行動展示了公私合作為我國網絡安全帶來的新的力量，毫無疑問，我們還有更多的工作要做，但也請大家不要懷疑，這些部門在網絡安全中發揮著不可或缺的作用。"

新的Exchange RCE漏洞和聯邦調查局的警告

這個消息是在4月補丁發布之后對外公布的，微軟在4月份披露了更多的Exchange中的RCE漏洞(CVE-2021-28480到CVE-2021-28483)，國家安全局發現了這些漏洞并進行了報告。同時也向聯邦機構下達了在周五前為它們打補丁的任務。

Immersive Labs的網絡威脅研究總監Kevin Breen警告說，針對該漏洞的攻擊可能會比平時來得更快一些，因為那些惡意攻擊者將能夠使用現有的POC工具進行檢測系統的漏洞。

他通過電子郵件補充道："這強調了現在的網絡安全對整個國家安全的重要性，情報部門和安全企業之間的界限不斷模糊，最近發生了一些備受矚目的攻擊事件，很顯然國家安全局現在非常想站出來積極主動的解決問題。"

本文翻譯自：https://threatpost.com/fbi-proxylogon-web-shells/165400/