Rapid7 виявила вразливість у Microsoft Exchange 2010, 2013, 2016 та 2019
Компанія Rapid7 виявила вразливість в Microsoft Exchange 2010, 2013, 2016 і 2019
Понад 247 000 серверів Microsoft Exchange постраждали від вразливості віддаленого виконання коду ( CVE-2020-0688 ).
Проблема міститься в компоненті Панелі керування Exchange (ECP), який увімкнуто в конфігураціях за замовчуванням і може дозволити потенційним зловмисникам віддалено контролювати уражені сервери Exchange за допомогою будь-яких дійсних облікових даних електронної пошти.
За даними фахівців компанії з інформаційної безпеки Rapid7, в даний час 61,10% (247 986 з 405 873) постраждалих серверів (версії Exchange 2010, 2013, 2016 і 2019 років) не зафіксовані і знаходяться під загрозою кібератак.
87% з майже 138 000 серверів Exchange 2016 і 77% з приблизно 25 000 серверів Exchange 2019 містять CVE-2020-0688, а приблизно 54 000 серверів Exchange 2010 взагалі не оновлювалися за останні шість років. В Інтернеті також було 16 577 серверів Exchange 2007, які були припинені в 2017 році.
Скомпрометовані облікові записи, які використовуються в атаках на сервери Exchange, можна легко виявити, перевіривши журнали подій Windows і IIS на наявність частин закодованого корисного навантаження, включаючи текст "Недійсний стан перегляду" або рядки __VIEWSTATE і __VIEWSTATEGENERATOR запитів на шлях в /ecp (зазвичай /ecp/default.aspx).
Оскільки Microsoft заявила, що не існує заходів для запобігання експлуатації вразливості, єдиний вибір, що залишився, - це виправити сервери, перш ніж зловмисники знайдуть їх і повністю скомпрометують мережу.