Tisíce zranitelných serverů Microsoft Exchange v ohrožení
Zpět na blogDesítky tisíc e-mailových serverů Microsoft Exchange v Evropě, USA a Asii vystavených na veřejném internetu jsou zranitelné chybami při vzdáleném spuštění kódu.
Systémy používají verzi softwaru, která v současné době není podporována a již nedostává žádný typ aktualizací, přičemž jsou zranitelné vůči mnoha bezpečnostním problémům, z nichž některé mají kritický stupeň závažnosti.
Exchange Server 2007 stále běží
Internetové skenování od nadace The ShadowServer Foundation ukazuje, že v současné době je přes veřejný internet dostupných téměř 20 000 serverů Microsoft Exchange, které dosáhly konce životnosti (EoL).
Více než polovina těchto systémů se nachází v Evropě. V Severní Americe bylo 6 038 serverů Exchange a v Asii 2 241 instancí. Statistiky ShadowServeru však nemusí ukazovat přesná data – bezpečnostní výzkumník Macnica Yutaka Sejiyama objevil přes 30 000 serverů Microsoft Exchange, které dosáhly konce podpory.
Podle Sejiyama bylo koncem listopadu na veřejném webu 30 635 strojů s nepodporovanou verzí Microsoft Exchange:
– 275 instancí serveru Exchange Server 2007
– 4 062 instancí Exchange Serveru 2010
– 26 298 instancí Exchange Serveru 2013
Výzkumník také porovnal míru aktualizací a zjistil, že od dubna letošního roku klesl globální počet serverů Exchange EoL z 43 656 o pouhých 18 %,
Nadace ShadowServer Foundation zdůrazňuje, že zastaralé Exchange objevené na veřejném webu byly ohrožené chybami vzdáleného spuštění kódu.
Některé ze starší verze poštovního serveru Exchange jsou zranitelné vůči ProxyLogon, kritické bezpečnostní chybě sledované jako CVE-2021-26855, kterou lze zřetězit s méně závažnou chybou označenou jako CVE-2021-27065 a dosáhnout tak vzdáleného spuštění kódu.
Podle Sejiyamy je na základě čísel sestavení získaných ze systémů během skenování téměř 1 800 systémů Exchange zranitelných buď zranitelností ProxyLogon, ProxyShell, nebo ProxyToken.
ShadowServer uvádí, že servery v jeho skenování jsou zranitelné následujícími bezpečnostními chybami:
CVE-2020-0688
CVE-2021-26855 – ProxyLogon
CVE-2021-27065 – součást řetězce zneužití ProxyLogon
CVE-2022-41082 – součást řetězce zneužití ProxyNotShell
CVE-2023-21529
CVE-2023-36745
CVE-2023-36439
Ačkoli většina výše uvedených zranitelností nemá kritické skóre závažnosti, společnost Microsoft je označila jako „důležité“. Kromě řetězce ProxyLogon – který byl při útocích zneužit – byly navíc všechny označeny jako „spíše pravděpodobné“.
I když společnosti, které stále provozují zastaralé servery Exchange, implementovaly dostupná zmírňující opatření, nejsou toto opatření dostatečná a Microsoft doporučuje upřednostnit instalaci aktualizací na serverech, které jsou orientovány na externí uživatele.
V případě instancí, které dosáhly konce podpory, zbývá jediná možnost – přejít na verzi, která ještě dostává alespoň bezpečnostní aktualizace.
Zdroj: Bleepingcomputer.com
6. 12. 2023