超过 20,000 台易受攻击的 Microsoft Exchange 服务器遭受攻击

欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。

邮件系统运行的软件版本目前不受支持，并且不再接收任何类型的更新，容易受到多个安全问题的影响，其中一些问题的严重程度非常严重。

ShadowServer Foundation 的互联网扫描显示，目前可通过公共互联网访问的近 20,000 台 Microsoft Exchange 服务器已达到生命周期结束 (EoL) 阶段。

周五，超过一半的系统位于欧洲。在北美，有 6,038 个 Exchange 服务器，在亚洲有 2,241 个实例。

微信图片_20231204101007

已终止支持的 Microsoft Exchange 服务器仍在运行

Foundation ShadowServer 的统计数据可能无法显示完整情况，因为 Macnica 安全研究员Yutaka Sejiyama发现有超过 30,000 台 Microsoft Exchange 服务器已终止支持。

根据 Sejiyama 对 Shodan 的扫描，11 月底，公共网络上有 30,635 台计算机安装了不受支持的 Microsoft Exchange 版本：

研究人员还比较了补丁更新率，发现自今年 4 月以来，全球 EoL Exchange 服务器数量仅从 43,656 台下降了 18%，Sejiyama 认为下降幅度还不够。

“即使是最近，我仍然看到这些漏洞被利用的新闻，现在我明白了原因。许多服务器仍处于脆弱状态。”——Yutaka Sejiyama

ShadowServer 基金会强调，在公共网络上发现的过时的 Exchange 计算机容易受到多个远程代码执行漏洞的影响。

一些运行旧版本 Exchange 邮件服务器的计算机容易受到ProxyLogon的攻击，这是一个编号为 CVE-2021-26855 的严重安全问题，可以与被识别为 CVE-2021-27065 的不太严重的错误链接起来以实现远程代码执行。

Sejiyama 表示，根据扫描期间从系统获得的内部版本号，有近 1,800 个 Exchange 系统容易受到 ProxyLogon、ProxyShell或ProxyToken漏洞的影响。

ShadowServer指出，扫描中的机器容易受到以下安全漏洞的影响：

上述大多数漏洞微软将它们标记为“重要”级别。此外，除了在攻击中被利用的 ProxyLogon 链外，所有这些链都被标记为“更有可能”被利用。

即使仍在运行过时 Exchange 服务器的公司已经实施了可用的缓解措施，该措施也还不够，因为 Microsoft 建议优先在面向外部的服务器上安装更新。

对于达到支持终止的实例，剩下的唯一选择是升级到仍至少收到安全更新的版本。

封面来源于网络，如有侵权请联系删除