Autoritatea națională de securitate cibernetică din Germania a avertizat marți că a descoperit cel puțin 17.000 de servere Microsoft Exchange în Germania expuse online și vulnerabile la una sau mai multe vulnerabilități critice de securitate.
Potrivit Biroului Federal de Securitate a Informațiilor din Germania (BSI), aproximativ 45.000 de servere Microsoft Exchange din Germania au activat Outlook Web Access (OWA) și sunt accesibile de pe Internet.
Aproximativ 12% din aceste servere încă folosesc versiuni învechite de Exchange (2010 sau 2013), care nu au primit actualizări de securitate începând cu octombrie 2020 și, respectiv, aprilie 2023.
Pentru serverele Exchange 2016 sau 2019 expuse online, aproximativ 28% nu au fost actualizate de cel puțin patru luni și sunt vulnerabile la cel puțin o vulnerabilitate critică de securitate exploatabilă în atacuri de execuție de cod la distanță.
„În total, cel puțin 37% dintre serverele Exchange din Germania (și în multe cazuri și rețelele din spatele lor) sunt grav vulnerabile. Acest lucru corespunde la aproximativ 17.000 de sisteme. În special, multe școli și colegii, clinici, cabinete medicale, servicii de îngrijire medicală și alte instituții medicale, avocați și consultanți fiscali, administrații locale și companii de dimensiuni medii sunt afectate,” a avertizat BSI [PDF].
„Încă din 2021, BSI a avertizat de mai multe ori împotriva exploatării active a vulnerabilităților critice din Microsoft Exchange și a numit temporar situația amenințării IT ‘roșie’. Cu toate acestea, situația nu s-a îmbunătățit de atunci, deoarece mulți operatori de servere Exchange continuă să acționeze foarte neglijent și nu lansează actualizările de securitate disponibile în timp util.”
BSI a îndemnat administratorii acestor servere neactualizate să folosească întotdeauna versiuni curente de Exchange, să instaleze toate actualizările de securitate disponibile și să configureze instanțele expuse online în mod sigur.
Pentru a face acest lucru, aceștia trebuie să verifice în mod regulat dacă sistemele lor au nivelul curent de patch-uri Microsoft Exchange și să se asigure că actualizările de securitate lunare din martie 2024 sunt instalate cât mai curând posibil:
BSI recomandă, de asemenea, restricționarea accesului la serviciile serverului Exchange bazate pe web, cum ar fi Outlook Web Access, la adrese IP de sursă de încredere sau securizarea acestora printr-o rețea VPN în loc să le facă accesibile de pe Internet.
Mai mult, pentru a proteja împotriva exploatării active a vulnerabilității critice de escaladare a privilegiilor CVE-2024-21410 dezvăluită de Microsoft luna trecută, aceștia trebuie să activeze Protecția Extinsă pe toate serverele Exchange folosind acest script PowerShell dedicat.
În februarie, serviciul de monitorizare a amenințărilor Shadowserver a avertizat că 28.500 de servere Microsoft Exchange erau vulnerabile la atacurile în curs de desfășurare CVE-2024-21410. Shadowserver a confirmat și constatările BSI, spunând că până la 97.000 de servere, inclusiv peste 22.000 din Germania, ar putea fi potențial vulnerabile dacă Protecția Extinsă nu era activată.
Microsoft activează acum automat Protecția Extinsă pe serverele Exchange după instalarea Actualizării Cumulative H1 din februarie 2024 (CU14).
Compania a îndemnat, de asemenea, administratorii Exchange acum un an să-și mențină serverele locale actualizate, astfel încât să fie întotdeauna pregătiți să implementeze patch-urile de securitate de urgență.
Peste 28.500 de servere Exchange vulnerabile la bug-ul exploatat activ
Microsoft: Un nou bug critic Exchange exploatat ca zero-day
Actualizarea Microsoft Exchange activează Protecția Extinsă implicit
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de injectare SQL
Hackeri ruși vizează partidele politice germane cu malware-ul WineLoader
Leave a Reply