80% از سرورهای اکسچنج که در اینترنت قرار دارند هنوز در مقابل رخنه های بحرانی پچ نشده اند

80% از سرورهای اکسچنج که در اینترنت قرار دارند هنوز در مقابل رخنه های بحرانی پچ نشده اند

بیش از 350.000 از کلیه سرورهای Microsoft Exchange که در حال حاضر در اینترنت قرار دارند، هنوز در برابر آسیب پذیری اجرای کد از راه دور CVE-2020-0688 که بر همه نسخه های پشتیبانی شده اکسچنج تاثیر می گذارد، پچ نشده اند.

 

این رخنه امنیتی در اجزای Exchange Control Panel (ECP) به صورت پیش فرض وجود دارد و به مهاجمان اجازه می دهد تا سرورهای آسیب پذیر مایکروسافت اکسچنج را با استفاده از هرگونه گذرواژه و کلمه عبور که قبلاً دزدیده اند، به دست گیرند.

مایکروسافت این باگ RCE را در فوریه 2020 برطرف کرد و آن را با عنوان Exploitation More Likely نامگذاری نمود و اشاره کرد که این آسیب پذیری یک هدف جذاب برای مهاجمین است.

شرکت سایبری امنیتی Rapid7، یکی از شرکت هایی که تست های نفوذ و آسیب پذیری انجام می دهد، پس از چندین سوء استفاده که در GitHub اعلام گردید، در 4 مارس یک ماژول جدید MS Exchange RCE را به ابزار تست نفوذ خود اضافه کرد.

NSA و CISA بعداً هشدارهایی صادر کردند که از سازمانها خواسته بودند که هر چه سریعتر CVE-2020_0688 را نصب کنند و ببینند که چندین گروه APT قبلاً شروع به سوء استفاده از این رخنه کرده اند.

82.5% از کل سرورهای اکسچنج هنوز پچ نشده اند

در 24 مارس، Rapid7 از ابزار پیمایش اینترنت Project Sonar خود برای کشف کلیه سرورهای اکسچنج موجود در اینترنت استفاده کرد که تعداد آنها بسیار زیاد بود.

تا جاییکه متوجه شدند 357.629 (82.5%) از 433.464 سرور اکسچنج هنوز در مقابل حملاتی که از CVE-2020-688 سوء استفاده می کنند، آسیب پذیر هستند.

حتی بدتر از این، ممکن است برخی از سرورهایی که توسط Rapid7 مشخص شده اند که در برابر حملات ایمن هستند نیز آسیب پذیر باشند، به دلیل اینکه به روزرسانی مربوط به مایکروسافت همیشه build number را به روز نمی کند.

 

قسمتی از اسکن Rapid7 برای آسیب پذیری CVE-2020-0688

 

علاوه بر این، همانطور که Rapid7 مشخص کرده است بیش از 31.000 سرور اکسچنج 2010 وجود دارد که از سال 2012 به روز نشده اند. نزدیک به 800 سرور اکسچنج 2010 وجود دارد که هرگز به روزرسانی نشده اند.

آنها همچنین 10.731 سرور اکسچنج 2007 و بیش از 166.321 سرور اکسچنج 2010 را پیدا کردند که از پشتیبانی خارج شده و هیچ آپدیت امنیتی از سال 2017 دریافت نکرده اند.

نتایج Rapid7 با گزارشی از Kenna Security که در 13 مارس منتشر شده است مطابقت دارد، که می گوید فقط 15% از سرورهای اکسچنج موجود در اینترنت تا 11 مارس پچ شده اند.

در اولین فرصت آسیب پذیری CVE-2020-0688 را برطرف کنید

تام سلزر مدیر ارشد لابراتوری Rapid7 توضیح داد: دو تلاش مهم وجود دارد که مدیران اکسچنج و تیم های InfoSec باید انجام دهند: انجام به روز رسانی ها و بررسی علائم خطر.

 اکانت های کاربرانی که به خطر افتاده و در حملات علیه سرورهای اکسچنج مورد استفاده قرار گرفته است، در قسمت Windows Event و لاگ های IIS قابل مشاهده می باشد.

از آنجا که مایکروسافت می گوید هیچ عامل کاهش دهنده ای برای این آسیب پذیری وجود ندارد، تنها انتخاب باقی مانده همانطور که Rapid7 نیز توصیه می کند این است که سرورهای خود را وصله کنید قبل از اینکه هکرها آنها را پیدا کرده و کل شبکه شما را به خطر بیاندازید، مگر اینکه شما مایل به تنظیم مجدد همه حسابهای کاربری باشید. تعویض گذرواژه اکانت های قبلی که به سرقت رفته بی فایده است.

لینک های دانلود به روز رسانی های امنیتی برای نسخه های آسیب پذیر Microsoft Exchange Server که نیاز به به روز رسانی دارند در جدول زیر آمده است:

 


Product


Article


Download


Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30


4536989


Security Update


Microsoft Exchange Server 2013 Cumulative Update 23


4536988


Security Update


Microsoft Exchange Server 2016 Cumulative Update 14


4536987


Security Update


Microsoft Exchange Server 2016 Cumulative Update 15


4536987


Security Update


Microsoft Exchange Server 2019 Cumulative Update 3


4536987


Security Update


Microsoft Exchange Server 2019 Cumulative Update 4


4536987


Security Update

 

 

منبع: BleepingComputer.com