Chińczycy z Hafnium dotarli do Polski?

Co najmniej 30 tysięcy małych firm, miejskich samorządów i lokalnych organizacji rządowych. To zgrubna lista ofiar ataku przeprowadzonego przez łączoną z rządem Chin grupę „Hafnium”, skupiającą się na wykradaniu korespondencji e-mail z zaatakowanych firm.

Takie wieści można było czytać w marcu na blogu Krebs On Security. O ile jednak celem pierwszej fali ataków były firmy amerykańskie – kolejne kampanie dotykały już europejskiej adresacji IP. A my od kilku dni wiemy już, że próbę połączenia z serwerami Hafnium podjęło kilkanaście adresów w sieci Orange Polska.

Napastnicy wykorzystują cztery nowe luki bezpieczeństwa w oprogramowaniu Microsoft Exchange Server 2013, 2016 i 2019.  Pozwalają one na wykonanie zabronionych poleceń na zaatakowanym serwerze (server-side request forgery, SSRF), wykonanie kodu z uprawnieniami systemowymi oraz zapisanie przez atakującego własnego pliku w dowolnym miejscu na serwerze. Microsoft opublikował awaryjne poprawki 2 marca, jednak „niezałatane” serwery wciąż są dostępne w internecie.

CERT Orange Polska podjął próbę kontaktu z będącymi w tej grupie użytkownikami usługi DSL i Biznes Pakietu. Jeśli jednak w Twojej sieci funkcjonuje będące celem ataków oprogramowanie Exchange Server, zajrzyj na tę stronę i czym prędzej zaktualizuj serwery, rozpoczynając od tych z bezpośrednim wyjściem do internetu.