Shadowserver detecteert 76.000 webshells op Exchange-servers

[Captain Kirk]

Er zijn zeker nog zo'n 76.000 webshells op gecompromitteerde Exchange-servers actief, een daling van de 283.000 webshells die twee weken geleden werden gedetecteerd, zo blijkt uit onderzoek van de Shadowserver Foundation, een in Nederland en de Verenigde Staten geregistreerde non-profitstichting die zich met de bestrijding van botnets en cybercrime bezighoudt.

Shadowserver voerde de afgelopen weken meerdere scans uit naar kwetsbare Exchange-servers. Twee weken geleden detecteerde de organisatie nog zo'n 283.000 unieke webshells op bijna 87.000 ip-adressen en 102.000 hostnames. Tijdens de laatste scan van gisterenavond bleek dat van de eerder waargenomen webshells er nog bijna 76.000 actief waren. Verspreid over 14.300 ip-adressen en bijna 17.000 hostnames.

De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht. Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers.

Shadowserver deelt de data onder andere met opsporingsdiensten, internetproviders en 120 nationale computer security incident response teams in 148 landen. Zo kunnen deze partijen weer op hun beurt de getroffen organisaties benaderen.

 

bron: https://www.security.nl