Δεκάδες χιλιάδες Microsoft Exchange email servers στην Ευρώπη, τις ΗΠΑ και την Ασία είναι ευάλωτοι σε ευπάθειες που επιτρέπουν την εκτέλεση κώδικα απομακρυσμένα.
Τα εκτεθειμένα στο διαδίκτυο mail συστήματα εκτελούν μια έκδοση λογισμικού που δεν υποστηρίζεται πια και δεν λαμβάνει πλέον ενημερώσεις. Έτσι, οι servers είναι ευάλωτοι σε πολλά ζητήματα ασφάλειας, ορισμένα από τα οποία θεωρούνται κρίσιμα.
Exchange Server 2007: Εξακολουθεί να εκτελείται
Διαδικτυακές σαρώσεις από το The ShadowServer Foundation δείχνουν ότι υπάρχουν επί του παρόντος σχεδόν 20.000 Microsoft Exchange servers οι οποίοι είναι προσβάσιμοι μέσω του δημόσιου Διαδικτύου και δεν λαμβάνουν ενημερώσεις (βρίσκονται στο the end-of-life (EoL) stage).
Δείτε επίσης: Apple: Διορθώνει zero-day ευπάθειες σε iPhone, iPad και Mac
Την Παρασκευή, περισσότερα από τα μισά συστήματα βρίσκονταν στην Ευρώπη. Στη Βόρεια Αμερική υπήρχαν 6.038 Exchange servers και στην Ασία 2.241.
Ωστόσο, τα στατιστικά στοιχεία του ShadowServer ενδέχεται να μην δείχνουν την πλήρη εικόνα, καθώς ο ερευνητής ασφαλείας της Macnica, Yutaka Sejiyama, ανακάλυψε λίγο περισσότερους από 30.000 ευάλωτους Microsoft Exchange servers.
Σύμφωνα τον Sejiyama, στα τέλη Νοεμβρίου υπήρχαν 30.635 μηχανήματα στον δημόσιο ιστό με μια μη υποστηριζόμενη έκδοση του Microsoft Exchange:
- 275 instances του Exchange Server 2007
- 4.062 instances του Exchange Server 2010
- 26.298 instances του Exchange Server 2013
Ευπάθειες που επιτρέπουν την εκτέλεση κώδικα απομακρυσμένα
Ο ερευνητής συνέκρινε επίσης τον ρυθμό ενημέρωσης και παρατήρησε ότι από τον Απρίλιο του 2023, ο παγκόσμιος αριθμός EoL Exchange servers μειώθηκε μόλις κατά 18%, μια μείωση που θεωρεί ανεπαρκή.
“Ακόμη και τώρα, εξακολουθώ να βλέπω ειδήσεις για αυτές τις ευπάθειες και τώρα καταλαβαίνω γιατί. Πολλοί διακομιστές είναι ακόμα σε ευάλωτη κατάσταση“, είπε ο Yutaka Sejiyama.
Δείτε επίσης: Zyxel: Προειδοποιεί για πολλαπλές κρίσιμες ευπάθειες σε συσκευές NAS
Το ShadowServer Foundation τονίζει ότι τα μη ενημερωμένα και εκτεθειμένα στο διαδίκτυο συστήματα κινδυνεύουν από τις κρίσιμες ευπάθειες.
Ορισμένα από τα μηχανήματα που εκτελούν παλαιότερες εκδόσεις του Exchange mail server είναι ευάλωτα στο ProxyLogon, ένα κρίσιμο ζήτημα ασφαλείας που παρακολουθείται ως CVE-2021-26855. Αυτή η ευπάθεια μπορεί να συνδεθεί με ένα λιγότερο σοβαρό σφάλμα (CVE-2021-27065) για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα.
Σύμφωνα με τον Sejiyama, με βάση τους αριθμούς έκδοσης που ελήφθησαν από τα συστήματα κατά τη σάρωση, υπάρχουν σχεδόν 1.800 συστήματα Exchange που είναι ευάλωτα σε ευπάθειες ProxyLogon, ProxyShell ή ProxyToken.
Το ShadowServer σημειώνει ότι τα μηχανήματα είναι ευάλωτα στις ακόλουθες ευπάθειες:
- CVE-2020-0688
- CVE-2021-26855 – ProxyLogon
- CVE-2021-27065 – μέρος της αλυσίδας εκμετάλλευσης ProxyLogon
- CVE-2022-41082 – μέρος της αλυσίδας εκμετάλλευσης ProxyNotShell
- CVE-2023-21529
- CVE-2023-36745
- CVE-2023-36439
Είναι σημαντικό να ενημερωθούν όλα τα συστήματα άμεσα προκειμένου να μην είναι ευάλωτα πλέον στις ευπάθειες. Στην περίπτωση των instances που έφθασαν στο τέλος της υποστήριξης, η μόνη επιλογή είναι η αναβάθμιση σε μια έκδοση που εξακολουθεί να λαμβάνει ενημερώσεις ασφαλείας.
Γενικά μέτρα προστασίας Microsoft Exchange servers
Για την προστασία των Microsoft Exchange servers, υπάρχουν ορισμένες προφυλάξεις που πρέπει να ληφθούν. Πρώτον, είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό του Exchange server, εγκαθιστώντας τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας. Αυτό θα βοηθήσει στην αντιμετώπιση γνωστών ευπαθειών και εκμεταλλεύσιμων κενών ασφαλείας.
Δείτε επίσης: Ευπάθεια στο Google Chrome: Η CISA Καταγράφει Επίθεση CVE-2023-6345
Δεύτερον, πρέπει να εφαρμόζονται ισχυροί κανόνες πρόσβασης στον Exchange server. Αυτό περιλαμβάνει τη χρήση πολύπλοκων κωδικών πρόσβασης, την εφαρμογή περιορισμένων δικαιωμάτων πρόσβασης και τη χρήση διαδικασιών διπλής επαλήθευσης.
Τρίτον, πρέπει να εγκατασταθούν και να διαμορφωθούν αποτελεσματικά τα προγράμματα ανίχνευσης και πρόληψης εισβολών στον server. Αυτά τα προγράμματα μπορούν να εντοπίσουν και να αποτρέψουν απόπειρες εισβολής και κακόβουλων ενεργειών.
Τέλος, είναι σημαντικό να διεξάγονται τακτικά αντίγραφα ασφαλείας των δεδομένων. Αυτό θα εξασφαλίσει τη δυνατότητα ανάκτησης των δεδομένων σε περίπτωση επιθέσεων ή απώλειας πληροφοριών.
Πηγή: www.bleepingcomputer.com
