研究人员表示,Exchange 漏洞可能导致了对 NetStandard MSP 的攻击
NetStandard 发生网络攻击,MyAppsAnywhere 暂停服务
重要要点
管理服务提供商 NetStandard 在周二遭受网络攻击,关闭了其 MyAppsAnywhere 云环境。工程师团队正在隔离威胁,减少对服务的影响,相关应用将保持离线状态,直至另行通知。专家建议组织及时添加补丁并监控日志,以增强安全性。一份发布在 Reddit 的报告称,位于堪萨斯州奥弗兰帕克的管理服务提供商MSPNetStandard 于周二遭遇网络攻击,导致其 MyAppsAnywhere 云环境暂时关闭。
根据 Reddit 上的帖子,NetStandard 的工程师团队正在努力隔离威胁,并减小对 MyAppsAnywhere 服务的影响,这些服务包括 Hosted GP、Hosted CRM、Hosted Exchange 和 Hosted SharePoint。帖子还表示,这些应用在另行通知之前将一直离线,NetStandard 将通过 Zoom 桥接与客户沟通。
截至周四下午,尝试联系 NetStandard 未果。
免费爬梯加速器官网入口尽管 NetStandard 尚未发布相关信息,但网络攻击可能是通过利用该 MSP 托管的 Exchange 服务器上的远程代码执行RCE漏洞发起的,例如CVE202131206。根据 CardinalOps 的网络防御战略副总裁 Phil Neray 的说法,根据 Shodan 报告,目前仍有超过 20000 台 Exchange 服务器尚未修补这一漏洞。
Neray 还表示,除了及时打补丁外,组织还应将所有相关日志转发至其 SIEM,并实施相关的检测规则以应对 MITRE ATTampCK 技术。这包括 T1595主动扫描用于警报侦测任何发现暴露 Exchange 端口的侦查尝试,以及 T1505003服务器软件组件:Web Shell用于警报任何试图在关键服务器上安装恶意软件的尝试,还有许多其他 MITRE 技术。
Vectra 的 SaaS Protect 首席技术官 Aaron Turner 表示,发生像 MyAppsAnywhere这样事件时,可以尝试像攻击者那样思考。Turner 指出,应该思考:最有效的方式是什么,能够获得对目标的完全访问权限?
“如果目标组织依赖于 MSP,那么通过一系列探测测试他们的安全性将是最好的起点,”Turner 表示。“不仅可以访问预期目标,深入破坏的附加效果还将是访问任何其他 MSP 客户的环境。随着数字供应链变得愈加冗长复杂,加之当前经济环境迫使更多组织依赖 MSP 进行 IT 服务交付,我们很可能会看到越来越多类似 MyAppsAnywhere 的网络攻击。”
希望以上信息能够帮助您更好地理解事件的影响和防范措施。
