Le 2 mars 2021, Microsoft a publié un correctif hors bande concernant plusieurs vulnérabilités de type zero-day affectant Exchange Server : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.
CVE-2021-26855 est une vulnérabilité côté serveur de type SSRF affectant Exchange, qui permet au pirate d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange. D'après les informations diffusées publiquement, l'entrée CVE-2021-26855 est exploitée par les hackers pour identifier les systèmes vulnérables. Elle peut être utilisée conjointement avec d'autres vulnérabilités dans le but d'obtenir un accès et d'effectuer d'autres opérations, notamment le déploiement de Web Shells dans les systèmes piratés.
Les chercheurs de Barracuda ont détecté une augmentation du nombre de CVE-2021-26855 dans nos capteurs et déploiements dans le monde entier depuis le début du mois. Le nombre de ces attaques a commencé a diminué le 1er mars, et le trafic n'a eu de cesse d'augmenter depuis.
L'équipe de recherche sur les menaces de Barracuda s'est rapidement mobilisée pour mettre au point une solution permettant de bloquer cette attaque sur Barracuda WAF et Barracuda WAF-as-a-Service.
URL et UserAgents les plus populaires
En analysant les données de plus près, nos chercheurs ont constaté que ces attaques correspondaient à des tentatives de reconnaissance. Beaucoup d'entre elles visaient des systèmes n'utilisant pas Exchange en back‑end. L'équipe de Microsoft et un certain nombre d'entreprises ont publié une liste d'URL ciblées par ces pirates, et les résultats établis par nos capteurs sont similaires. Voici les cinq URL les plus ciblées :
- /owa/auth/x.js
- /ecp/y.js
- /ecp/program.js
- /ecp/x.js
- //ecp/x.js
La plupart de ces attaques semblent utiliser les cookies X-AnonResource-Backend et X-BEResource se terminant par le paramètre "?~3" qui a été répertorié dans le script d'analyse de vulnérabilités de Microsoft.
Si l'on se penche sur les UserAgents que ces outils d'analyse utilisent, les trois principaux sont :
- ExchangeServicesClient
- python-requests
- nmap
Les chercheurs de Barracuda n'ont constaté aucun écart majeur par rapport à ce que d'autres acteurs du domaine ont pu signaler, mais ils remarquent également qu'un grand nombre de scanners utilisent des en-têtes de navigateur standard.
Augmentation des analyses ciblant d'autres vulnérabilités
La saison a été marquée par des vulnérabilités très médiatisées, dont Solarwinds, VMware et Microsoft sont les dernières victimes. Le 24 février 2021, VMware a publié un avis concernant les vulnérabilités CVE-2021- 21972 et CVE-2021-21973. En considérant l'ensemble de ces vulnérabilités, les chercheurs de Barracuda ont constaté une augmentation constante du nombre d'analyses ciblant ces vulnérabilités depuis le 24 février.
Protection contre les tentatives d'exploitation des vulnérabilités d'Exchange
Barracuda WAF et Barracuda WAF-as-a-Service peuvent être configurés pour bloquer toute tentative d'analyse et d'exploitation des vulnérabilités Exchange et VMware. Si vous disposez déjà de Barracuda WAF ou WAF-as-a-Service, veuillez contacter notre équipe d'assistance pour effectuer et valider cette configuration.
Nous pensons pour le moment que les pirates continueront à rechercher et à exploiter ces vulnérabilités à un rythme soutenu pendant quelques semaines encore, avant que les analyses ne se stabilisent et diminuent.
En ce qui concerne les vulnérabilités Exchange, nous estimons que la première chose à faire est d'effectuer les mises à jour et d'appliquer les corrections préconisées par Microsoft dans cet article. Les solutions Barracuda peuvent également apporter un haut niveau de sécurité à vos déploiements d'applications.
Barracuda CloudGen Access propose un accès réseau zero trust (ZTNA), ajoutant ainsi une fonction de contrôle des accès à vos applications. Barracuda CAP assure la sécurité de vos applications, où qu'elles se trouvent, contre tout type d'attaque, y compris les attaques DDoS. Son moteur de signatures intelligentes performant et ses fonctionnalités de sécurité vous offrent une protection proactive contre les 10 principales attaques de l'OWASP et les attaques de type zero-day. Vous disposez ainsi d'un temps précieux que vous pouvez consacrer à la protection de vos applications tout en appliquant vos correctifs.
L'équipe de recherche de Barracuda partagera bientôt davantage d'informations sur ces vulnérabilités et la manière de se protéger contre les attaques tentant d'en tirer parti.
Essai gratuit : protégez vos applications avec une plateforme simple.
Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.