آسیب‌پذیری سرورهای مایکروسافت در برابر حملات سایبری

به گزارش کارگروه امنیت سایبربان؛ کارشناسان اعلام کردند که ده‌ها هزار سرور ایمیل «Microsoft Exchange» در اروپا، ایالات متحده و آسیا متصل به اینترنت عمومی، در معرض نقص‌های اجرای کد از راه دور هستند.

سیستم‌های پستی نسخه‌ای نرم‌افزاری را اجرا می‌کنند که در حال حاضر پشتیبانی نمی‌شود و دیگر هیچ نوع به‌روزرسانی دریافت نمی‌کند، زیرا در برابر چندین مشکل امنیتی آسیب‌پذیر است، برخی از آنها دارای درجه‌بندی شدید هستند.

Exchange Server 2007 هنوز در حال اجرا است

اسکن های اینترنتی از بنیاد «ShadowServer» نشان می‌دهد که در حال حاضر نزدیک به 20000 سرور Microsoft Exchange از طریق اینترنت عمومی قابل دسترسی هستند که به مرحله پایان عمر (EoL) رسیده‌اند.

بیش از نیمی از سیستم‌ها در اروپا مستقر بودند. در آمریکای شمالی، 6038 سرور Exchange و در آسیا 2241 مورد وجود داشت.

با این حال، آمار ShadowServer ممکن است تصویر کاملی را نشان ندهد زیرا یوتاکا سِجیاما (Yutaka Sejiyama)، محقق امنیتی ماکنیکا (Macnica)، کمی بیش از 30000 سرور Microsoft Exchange را کشف کرد که به پایان پشتیبانی رسیده‌اند.

طبق اسکن‌های سِجیاما، در اواخر نوامبر سال جاری 30635 دستگاه در وب عمومی با نسخه پشتیبانی‌نشده از Microsoft Exchange وجود داشت :

• 275 نمونه از Exchange Server 2007
• 4062 نمونه از Exchange Server 2010
• 26298 نمونه از Exchange Server 2013

خطر اجرای کد از راه دور

این محقق همچنین نرخ به‌روزرسانی را مقایسه و عنوان کرد که از آوریل امسال، تعداد سرورهای مرحله پایان عمر مایکروسافت از 43656 تنها 18 درصد کاهش یافته است، کاهشی که سِجیاما احساس می‌کند کافی نیست.

وی اظهار داشت :

«اخیراً من اخباری از این آسیب‌پذیری‌ها را می‌بینم که مورد سوء استفاده قرار می‌گیرند و اکنون می‌دانم چرا. بسیاری از سرورها هنوز در یک وضعیت آسیب‌پذیر هستند.»

بنیاد ShadowServer تأکید کرد که ماشین‌های تبادل قدیمی کشف شده در وب عمومی در برابر چندین نقص اجرای کد از راه دور آسیب‌پذیر بودند.

برخی از ماشین‌هایی که نسخه‌های قدیمی‌تر سرور ایمیل Exchange را اجرا می‌کنند، در برابر «ProxyLogon» آسیب‌پذیر هستند، یک مشکل امنیتی حیاتی که به‌عنوان «CVE-2021-26855» ردیابی می‌شود که می‌تواند با یک باگ کمتر شناخته‌شده به‌عنوان CVE-2021-27065 برای دستیابی به اجرای کد از راه دور، زنجیره شود.

به گفته سِجیاما، براساس شماره ساخت به دست آمده از سیستم‌ها در طول اسکن، نزدیک به 1800 سیستم Exchange وجود دارد که در برابر آسیب‌پذیری‌های ProxyLogon، ProxyShell یا ProxyToken آسیب‌پذیر هستند.

ShadowServer خاطرنشان کرد که دستگاه‌های موجود در اسکن آنها در برابر نقص‌های امنیتی زیر آسیب‌پذیر هستند :

• CVE-2020-0688
• CVE-2021-26855 - ProxyLogon
• CVE-2021-27065 - بخشی از زنجیره بهره‌برداری ProxyLogon
• CVE-2022-41082 - بخشی از زنجیره بهره‌برداری ProxyNotShell
• CVE-2023-21529
• CVE-2023-36745
• CVE-2023-36439

اگرچه بسیاری از آسیب‌پذیری‌های بالا دارای شدت بحرانی نیستند، اما مایکروسافت آنها را به‌عنوان «مهم» علامت‌گذاری کرد. علاوه بر این، به جز زنجیره ProxyLogon، که در حملات مورد سوء استفاده قرار گرفته است، همه آنها با عنوان «احتمال بیشتری برای سوء استفاده» برچسب‌گذاری شدند.

حتی اگر شرکت‌هایی که هنوز سرورهای قدیمی Exchange را اجرا می‌کنند، اقدامات کاهشی در دسترس را اعمال کرده باشند، اما این اقدامات کافی نیست زیرا مایکروسافت توصیه کرده که نصب به‌روزرسانی‌ها روی سرورهایی که از خارج با آن مواجه هستند، اولویت‌بندی شود.

در مواردی که به پایان پشتیبانی رسیده‌اند، تنها گزینه باقی مانده ارتقا به نسخه‌ای است که همچنان حداقل به‌روزرسانی‌های امنیتی را دریافت می‌کند.