IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

 

پیش زمینه:

شرکای CISA مواردی از سوءاستفاده و آسیب پذیری های فعال را در محصولات داخلی مایکروسافت Exchange مشاهده کرده اند. در حال حاضر احتمال آسیب پذیری و سوءاستفاده احتمالی از این نقص ها بر روی مایکروسافت 365 و یا Azure Cloud مشخص نشده است. سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

CISA اعلام کرده است که این سوءاستفاده از محصولات داخلی مایکروسافت Exchange خطری غیرقابل قبول برای agent های اجرایی فدرال دارد و باید در اسرع وقت این مشکل مرتفع شود. این اعلام نظر بر مبنای احتمال سوءاستفاده فعلی از این آسیب پذیری ها در بدترین حالت خود است که به طبع آن، سوءاستفاده از این آسیب پذیری ها، نشر نرم افزار آسیب دیده در شرکت های فدرال، پتانسیل بالای بروز آسیب در سیستمهای اطلاعاتی agent در معرض خطر و تاثیر بالقوه ایجاد خطر موفقیت آمیز را در پی دارد.

در حال حاضر آسیب پذیری های مربوط به این آسیب پذیری شناسایی شده، شامل CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 است.

طبق گفته های مایکروسافت و محققین امنیتی، آسیب پذیری های زیر نیز شناسایی شده اند که مشخص نیست هنوز قابل بهره برداری باشند: CVE-2021-26412, CVE-2021-26854, CVE-2021-27078.

اقدامات مورد نیاز

1. پس از شناسایی همه موارد مورد نظر در محیط سرورهای داخلی مایکروسافت Exchange، agent ی که دارای تخصص کافی هستند باید با استفاده از ابزار جمع آوری اطلاعات را به صورت قانونی تهیه کنند (مانند هشدار امنیتی CISA) برای جمع آوری اطلاعات حافظه سیستم، لاگ های مربوط به وبِ سیستم، لاگ های رویداد های ویندوز و تمام جزئیات رجیستری. سپس agent باید اطلاعات جمع آوری شده را از نظر نشانه هایی مبنی بر نفوذ یا موارد مشکوک، مانند تخلیه اعتبارنامه ها و سایر فعالیت هایی که در قسمت هشدار فعالیت، شرح داده شده اند را بررسی کنند. اگر رفتار مشکوک یا نشانه ای از بروز خطر مشاهده شد، به مورد 2 مراجعه کنید.

اگر هیچ نشانه ای از به خطر افتادگی یافت نشد، agent باید بلافاصله بروزرسانی های مایکروسافت را برای سرورهای مایکروسافت Exchange اعمال کرده و سپس به گزینه 5 بروند.

اگر agent از تخصص کافی در زمینه اعمال موارد قانونی ذکر شده در سیستم های خود را ندارند، باید به گزینه 3 رجوع کنند.

2. agent هایی که تخصص لازم را دارند، بلادرنگ، قبل از انجام گزینه 3، اقدامات زیر را انجام دهند. agent ها باید اطلاعات جمع آوری شده در این مرحله را در راستای شناسایی نشانه هایی از تغییرات و نفوذ یا رفتار مشکوک، مانند تخلیه اعتبار نامه ها، حرکات غیرطبیعی و متفرقه، persistence mechanisms و هرگونه سوءاستفاده احتمالی بررسی کنند.
   1. به بصورت صحیح از حافظه سیستم یک نسخه پشتیبان تهیه کنید یا برای virtual host، یک نسخه حافظه مجازی (VMEM) را در حافظه خارجی برای بررسی، تهیه و ذخیره کنید.
   2. اگر امکان تهیه نسخه پشتیبان فراهم بود، طبق فرایند agent عمل کرده تا نسخه لایو پشتیبان را ایجاد نمایید.
   3. اگر نمیتوان نسخه پشتیبان لایو را تهیه کرد، همه سیستم ها (سیستم های مجازی) که نسخه تحت وب Outlook (به طور کلی Outlook Web Access/App یا OWA و یا صفحه کنترل Exchange یا ECP را اجرا میکنند، متوقف نمایید.
   4. برای جستجوی IOCهای موجود در قسمت هشدار فعالیت های CISA، اقدام به بررسی و آنالیز نسخه پشتیبان تهیه شده، کنید.
   5. ترافیک شبکه و داده های بزرگ ذخیره شده را در راستای پیدا کردن نشانه های بروز مخاطرات و یا اتصالات مشکوک که در قسمت هشدار فعالیت CISA ارائه شده است را بررسی و آنالیز نمایید.
   6. شبکه و سیستم ها را برای یافتن نشانه های اضافی مبنی بر نفوذ و تغییرات که ارائه شده اند، با دقت بررسی کنید.
3. agent ی که نشانه های نفوذ و سازش را در گزینه 1 شناسایی کرده اند یا تخصص لازم برای انجام گزینه های 1 و یا 2 را ندارند، باید این مراحل را انجام داده و سپس به گزینه 4 بروند:
   1. سرورهای مایکروسافت Exchange را فوراٌ قطع کنید.
   2. تا زمانی که CISA این سازمان ها را به بازسازی سیستم عامل سرور مایکروسافت Exchange و نصب مجدد بسته نرم افزاری هدایت میکند، نمایندگی ها از پیوستن مجدد به دامنه سازمانی سرور مایکروسافت Exchange منع شده اند.
   3. شناسایی و حذف تمام حساب های مخرب actor-controlled و شناسایی persistence mechanisms.
   4. نهادهایی درگیر این آسیب پذیری، باید قبل از بازسازی سیستم ها از منابع معتبر با استفاده از آخرین نسخه محصول موجود، با CISA ارتباط برقرار کرده و راهنمایی های لازم را دریافت کنند.
4. وجود هر یک از موارد زیر را به عنوان یک مشکل و حادثه بلادرنگ به CISA گزارش دهید:
   1. شناسایی شاخص های نشان دهنده بروز خطر، همانطور که در قسمت هشدار فعالیت CISA ذکر شده است.
   2. وجود کد web shell در سرور داخلی مایکروسافت Exchange که در معرض خطر است.
   3. دسترسی یا استفاده غیرمجاز از حساب ها.
   4. وجود شواهدی مبنی بر حرکات متفرقه توسط مهاجمین با دسترسی به سیستم های در معرض خطر و آسیب.
   5. سایر شاخص های دسترسی یا unauthorized compromise.
   6. سایر شاخص های مرتبط به این موضوع که توسط CISA اعلام شده است.
5. همه agent ها باید گزارش خود را با استفاده از الگوی ارائه شده تا ظهر به وقت استاندارد شرقی در ظهر جمعه پنجم مارس 2021 گزارش دهند. مدیران ارشد اطلاعات (CIO) در سطح دپارتمان یا معادل آن باید این گزارش را که گواهی وضعیت agent است، به CISA گزارش دهند.

این اقدامات ضروری در مورد agent ی که از سرورهای مایکروسافت Exchange در هر سیستم اطلاعاتی استفاده میکنند، شامل یک سیستم اطلاعاتی که توسط یک نهاد دیگر به نمایندگی از یک agency استفاده یا اداره میشود، اعمال میشود که اطلاعات agent را جمع آوری، پردازش، ذخیره، انتقال، انتشار یا در غیر اینصورت حفظ میکند.

اقدامات CISA

CISA به کار با شرکای خود برای نظارت بر هرگونه سوءاستفاده ممکن و مرتبط با این آسیب پذیری ادامه خواهد داد.

CISA با در دسترس قرار گرفتن شاخص های اضافی بر مبنای بروز خطر و آسیب، آزاد خواهد شد.

CISA برای مطابقت با این بخشنامه، به agent فاقد توانایی داخلی، کمک فنی خواهد کرد.

CISA از طریق وب سایت CISA، و به وسیله ارتباط هماهنگ با بخشنامه اضطراری و از طریق مشارکت های فردی در صورت درخواست و همچنین راهنمایی بیشتری را به agent ارائه میدهد.

تا 5 آپریل 2021، CISA گزارشی را به وزیر امنیت داخلی و مدیر دفتر مدیریت و بودجه یا OMB ارائه میدهد که وضعیت بین agent و مسائل مهم این آسیب پذیری را مشخص می نماید.

مدت زمان

این دستورالعمل اضطراری تا زمانی که همه agent های عامل سرورهای مایکروسافت Exchange از بسته بروزرسانی موجود استفاده نکنند یا تا زمانی که بخشنامه با اقدامات مناسب دیگر خاتمه یابد، همچنان در حال اجرا خواهد بود.