Was tun? Objekt gefunden: Intrusion.Generic.CVE-2017-9805.c.exploit

[rt1970]

Hallo!

Hab gerade eine Mail vom KSC bekommen:

Das Ereignis "Infiziertes Objekt oder Objekt anderen Typs gefunden" ist auf dem Computer EXCHANGE in der Domäne YYYYY um Sonntag, 2. Januar 2022 20:06:15 (GMT+01:00) eingetreten Objekt gefunden:  Intrusion.Generic.CVE-2017-9805.c.exploit

Name des Objekts: 5.193.208.47:38772

Protokoll: TCP

Absender: 5.193.208.47:38772

Empfänger: 192.168.2.4:443

 

Kann mir das mal einer übersetzen? Was ist das für ein Objekt? Ich sehe nur eine IP und einen Port...

Außer SSL Port 443 ist auf dem Exchange nichts weiter gemappt…

War das “nur” ein Versuch, oder ist das ein Grund zur Beunruhigung?

Grüße

[Grodomin]

Guten Morgen @rt1970 ,

grundsätzlich hat Kaspersky einen Angriff auf deinen Exchange über eine Schwachstelle erkannt.

• Objekt gefunden:  Intrusion.Generic.CVE-2017-9805.c.exploit
  Auf deinem Exchange scheint ein Apache Webserver zu laufen, welcher seit mindestens 2017 (!) nicht mehr gepatcht wurde, denn so alt ist die Lücke
  siehe: https://securitylab.github.com/research/apache-struts-vulnerability-cve-2017-9805/
• Name des Objekts: 5.193.208.47:38772
  Ist eine IP Adresse aus den Vereinigten Arabischen Emiraten und 38772 der genutze Port für den Angriff / Scan
  Du bist mit der IP im Übrigen nicht allein
  siehe: https://www.abuseipdb.com/check/5.193.208.47
• Empfänger: 192.168.2.4:443
  Die lokale IP des Exchange-Servers, Port 443 ist für Outlook-Webaccess offen

Zu den Maßnahmen:

1. schließe auf deiner Firewall die Kommunikation mit der externen IP-Adresse - sofern möglich, kannst du auch eine GEO-Filterung aktivieren
2. finde heraus was für eine Software auf dem Exchange läuft, und aktuallisiere oder deinstalliere sie (Apache Webserver sollte einfach zu finden sein)
3. führe einen Vollscan auf dem Server aus

Je nachdem. welche Kaspersky-Version du einsetzt, kannst du in Zukunft in den Email-Benachrichtigungen zusätzliche Infromationen erhalten.

 

[rt1970]

Vielen Dank für die Info!

Allerdings läuft kein Apache auf dem Exchange-Server. Wozu auch wenn der IIS für den Exchange läuft. Port 443 ist nur der MS IIS.

Das mit den IP´s und den Benachrichtigungen war mir schon klar. Trotzdem danke!

Mein Problem ist eigentlich wie Angriff auf eine Sicherheitslücke eines Apache-Servers erkannt wurde, der gar nicht installiert ist!? Also was hat Kaspersky da erkannt?

PS: Vollscan geht anscheinend nicht bei Kaspersky für Server!?

[alexcad]

Vermutlich kommt die Meldung vom Schutzmodul "Schutz vor Netzwerkbedrohungen".
Diese Angriffsversuche auf Apache-Schwachstellen sehen wir hier sehr häufig, sofern Ports interner Server (Systeme) nach Außen exponiert sind.
Dabei spielt es teilweise überhaupt keine Rolle, ob diese Dienste und damit auch die Schwachstellen intern tatsächlich vorhanden sind. Die Angreifer prüfen automatisiert einfach alles durch, was über das Internet erreichbar ist, in der Hoffnung, irgendwo einen Treffer zu landen.

Bzgl. des offenen Ports auf dem Exchange würde ich zwei Punkte empfehlen:

• Exchange-Server aktiv und sehr zeitnah Patchen. 
• Noch besser bzw. ergänzend: Reverse Proxy dazwischen schalten. Damit sind die (Exchange-)Dienste abgeschottet und dennoch erreichbar. Viele Business-Firewalls haben integrierte Reverse-Proxy-Funktionen. Ansonsten setzten wir hier gerne KEMP ein, der für kleine Umgebungen kostenlos ist ( https://freeloadbalancer.com/ ). Ein Reverse-Proxy war/ist z. B. auch ein effektiver Schutz vor den Hafnium-Angriffen. 

Grüße
Alex