Tisíce zranitelných serverů Microsoft Exchange v ohrožení

Zpět na blog

Desítky tisíc e-mailových serverů Microsoft Exchange v Evropě, USA a Asii vystavených na veřejném internetu jsou zranitelné chybami při vzdáleném spuštění kódu.

Systémy používají verzi softwaru, která v současné době není podporována a již nedostává žádný typ aktualizací, přičemž jsou zranitelné vůči mnoha bezpečnostním problémům, z nichž některé mají kritický stupeň závažnosti.

Exchange Server 2007 stále běží

Internetové skenování od nadace The ShadowServer Foundation ukazuje, že v současné době je přes veřejný internet dostupných téměř 20 000 serverů Microsoft Exchange, které dosáhly konce životnosti (EoL).

Více než polovina těchto systémů se nachází v Evropě. V Severní Americe bylo 6 038 serverů Exchange a v Asii 2 241 instancí. Statistiky ShadowServeru však nemusí ukazovat přesná data – bezpečnostní výzkumník Macnica Yutaka Sejiyama objevil přes 30 000 serverů Microsoft Exchange, které dosáhly konce podpory.

Podle Sejiyama bylo koncem listopadu na veřejném webu 30 635 strojů s nepodporovanou verzí Microsoft Exchange:

– 275 instancí serveru Exchange Server 2007

– 4 062 instancí Exchange Serveru 2010

– 26 298 instancí Exchange Serveru 2013

Výzkumník také porovnal míru aktualizací a zjistil, že od dubna letošního roku klesl globální počet serverů Exchange EoL z 43 656 o pouhých 18 %,

Nadace ShadowServer Foundation zdůrazňuje, že zastaralé Exchange objevené na veřejném webu byly ohrožené chybami vzdáleného spuštění kódu.

Některé ze starší verze poštovního serveru Exchange jsou zranitelné vůči ProxyLogon, kritické bezpečnostní chybě sledované jako CVE-2021-26855, kterou lze zřetězit s méně závažnou chybou označenou jako CVE-2021-27065 a dosáhnout tak vzdáleného spuštění kódu.

Podle Sejiyamy je na základě čísel sestavení získaných ze systémů během skenování téměř 1 800 systémů Exchange zranitelných buď zranitelností ProxyLogon, ProxyShell, nebo ProxyToken.

ShadowServer uvádí, že servery v jeho skenování jsou zranitelné následujícími bezpečnostními chybami:

CVE-2020-0688

CVE-2021-26855 – ProxyLogon

CVE-2021-27065 – součást řetězce zneužití ProxyLogon

CVE-2022-41082 – součást řetězce zneužití ProxyNotShell

CVE-2023-21529

CVE-2023-36745

CVE-2023-36439

Ačkoli většina výše uvedených zranitelností nemá kritické skóre závažnosti, společnost Microsoft je označila jako „důležité“. Kromě řetězce ProxyLogon – který byl při útocích zneužit – byly navíc všechny označeny jako „spíše pravděpodobné“.

I když společnosti, které stále provozují zastaralé servery Exchange, implementovaly dostupná zmírňující opatření, nejsou toto opatření dostatečná a Microsoft doporučuje upřednostnit instalaci aktualizací na serverech, které jsou orientovány na externí uživatele.

V případě instancí, které dosáhly konce podpory, zbývá jediná možnost – přejít na verzi, která ještě dostává alespoň bezpečnostní aktualizace.

Zdroj: Bleepingcomputer.com

6. 12. 2023