Njemačko nacionalno tijelo za kibernetičku sigurnost upozorilo je u utorak da je pronašlo najmanje 17.000 Microsoft Exchange servera u Njemačkoj izloženih na mreži i ranjivih na jednu ili više kritičnih sigurnosnih propusta.
Prema njemačkom saveznom uredu za sigurnost informacija (BSI), oko 45.000 Microsoft Exchange servera u Njemačkoj ima omogućen Outlook Web Access (OWA) i dostupni su sa Interneta.
Otprilike 12% ovih servera još uvijek koristi zastarjele verzije Exchangea (2010. ili 2013.), koje nisu primile sigurnosna ažuriranja od oktobra 2020. odnosno aprila 2023. godine.
Za Exchange 2016 ili 2019 servere koji su izloženi na mreži, otprilike 28% nije zakrpljeno najmanje četiri mjeseca i ranjivi su na najmanje jednu kritičnu sigurnosnu grešku koja se može iskoristiti u napadima na daljinsko izvršavanje koda.
“Sveukupno, najmanje 37% Exchange servera u Njemačkoj (iu mnogim slučajevima i mreže iza njih) je ozbiljno ranjivo. To odgovara otprilike 17.000 sistema. Konkretno, mnoge škole i fakulteti, klinike, ordinacije, medicinske sestre i druge medicinske ustanove, advokati i poreski konsultanti, lokalne samouprave i srednja preduzeća su pogođeni”, upozorio je BSI.
„Već 2021. BSI je nekoliko puta upozorio na aktivnu eksploataciju kritičnih ranjivosti u Microsoft Exchangeu i privremeno nazvao situaciju IT prijetnji ‘crvenom’. Ipak, situacija se od tada nije popravila, jer mnogi operateri Exchange servera i dalje postupaju vrlo nemarno i ne objavljuju dostupna sigurnosna ažuriranja na vrijeme.”
BSI je pozvao administratore ovih nezakrpljenih servera da uvijek koriste trenutne verzije Exchange-a, instaliraju sva dostupna sigurnosna ažuriranja i bezbjedno konfigurišu instance izložene na mreži.
Da bi to učinili, moraju redovno provjeravati da li su njihovi sistemi na trenutnom nivou zakrpe za Microsoft Exchange i osigurati da se mjesečna sigurnosna ažuriranja za mart 2024. instaliraju što je prije moguće:
- Exchange Server 2019 CU14 Mar24SU (broj verzije 15.2.1544.9)
- Exchange Server 2019 CU13 Mar24SU (broj izrade 15.2.1258.32)
- Exchange Server 2016 CU23 Mar24SU (broj izrade 15.1.2507.37)
BSI takođe preporučuje ograničavanje pristupa uslugama Exchange servera zasnovanim na vebu, kao što je Outlook Web Access, na pouzdane izvorne IP adrese ili njihovo obezbjeđivanje putem VPN-a umjesto da im se omogući pristup sa Interneta.
Nadalje, da bi se zaštitili od aktivne eksploatacije CVE -2024-21410 kritične ranjivosti eskalacije privilegija koju je Microsoft otkrio prošlog mjeseca, moraju omogućiti proširenu zaštitu na svim Exchange serverima koristeći ovu namjensku PowerShell skriptu .
U februaru je servis za praćenje prijetnji Shadowserver upozorio da je 28.500 Microsoft Exchange servera ranjivo na tekuće CVE-2024-21410 napade. Shadowserver je također potvrdio nalaze BSI, rekavši da bi do 97.000 servera, uključujući preko 22.000 iz Njemačke, moglo biti potencijalno ranjivo ako proširena zaštita nije omogućena.
Microsoft sada automatski uključuje proširenu zaštitu na Exchange serverima nakon što je instalirao kumulativno ažuriranje H1 (CU14) iz februara 2024.
Kompanija je takođe pozvala administratore Exchange-a prije godinu dana da održavaju svoje lokalne servere ažurnim , tako da su uvijek spremni da primjene hitne bezbjednosne zakrpe.
Izvor:BleepingComputer
