导 读
欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。
邮件系统运行的软件版本目前不受支持,并且不再接收任何类型的更新,容易受到多个安全问题的影响,其中一些问题的严重程度非常严重。
已终止支持的Exchange Server 2007 仍在运行
ShadowServer Foundation 的互联网扫描显示,目前可通过公共互联网访问的近 20,000 台 Microsoft Exchange 服务器已达到生命周期结束 (EoL) 阶段。
周五,超过一半的系统位于欧洲。在北美,有 6,038 个 Exchange 服务器,在亚洲有 2,241 个实例。
已终止支持的 Microsoft Exchange 服务器仍在运行,来源:ShadowServer
Foundation ShadowServer 的统计数据可能无法显示完整情况,因为 Macnica 安全研究员Yutaka Sejiyama发现有超过 30,000 台 Microsoft Exchange 服务器已终止支持。
根据 Sejiyama 对 Shodan 的扫描,11 月底,公共网络上有 30,635 台计算机安装了不受支持的 Microsoft Exchange 版本:
-
275 个Exchange Server 2007 实例
-
4,062 个Exchange Server 2010 实例
-
26,298 个Exchange Server 2013 实例
远程代码执行漏洞风险
研究人员还比较了补丁更新率,发现自今年 4 月以来,全球 EoL Exchange 服务器数量仅从 43,656 台下降了 18%,Sejiyama 认为下降幅度还不够。
“即使是最近,我仍然看到这些漏洞被利用的新闻,现在我明白了原因。许多服务器仍处于脆弱状态。”——Yutaka Sejiyama
ShadowServer 基金会强调,在公共网络上发现的过时的 Exchange 计算机容易受到多个远程代码执行漏洞的影响。
一些运行旧版本 Exchange 邮件服务器的计算机容易受到ProxyLogon的攻击,这是一个编号为 CVE-2021-26855 的严重安全问题,可以与被识别为 CVE-2021-27065 的不太严重的错误链接起来以实现远程代码执行。
Sejiyama 表示,根据扫描期间从系统获得的内部版本号,有近 1,800 个 Exchange 系统容易受到 ProxyLogon、ProxyShell或ProxyToken漏洞的影响。
ShadowServer指出,扫描中的机器容易受到以下安全漏洞的影响:
-
CVE-2020-0688
-
CVE-2021-26855 - ProxyLogon
-
CVE-2021-27065 - ProxyLogon 漏洞利用链的一部分
-
CVE-2022-41082 - ProxyNotShell 漏洞利用链 的一部分
-
CVE-2023-21529
-
CVE-2023-36745
-
CVE-2023-36439
上述大多数漏洞微软将它们标记为“重要”级别。此外,除了在攻击中被利用的 ProxyLogon 链外,所有这些链都被标记为“更有可能”被利用。
即使仍在运行过时 Exchange 服务器的公司已经实施了可用的缓解措施,该措施也还不够,因为 Microsoft 建议优先在面向外部的服务器上安装更新。
对于达到支持终止的实例,剩下的唯一选择是升级到仍至少收到安全更新的版本。
参考链接:https://therecord.media/xdspy-hackers-target-russian-military-industrial-companies
今日安全资讯速递
APT事件
Advanced Persistent Threat
Agent Racoon 后门针对中东、非洲和美国的组织
https://thehackernews.com/2023/12/agent-racoon-backdoor-targets.html
XDSpy 黑客攻击俄罗斯军工公司
https://therecord.media/xdspy-hackers-target-russian-military-industrial-companies
一般威胁事件
General Threat Incidents
制造业成为创纪录的网络勒索浪潮中的首要目标行业
https://www.infosecurity-magazine.com/news/manufacturing-top-targeted-orange/
超过 20,000 台易受攻击的 Microsoft Exchange 服务器遭受攻击
https://www.bleepingcomputer.com/news/security/over-20-000-vulnerable-microsoft-exchange-servers-exposed-to-attacks/
新的 FjordPhantom Android 恶意软件瞄准东南亚的银行应用程序
https://thehackernews.com/2023/12/new-fjordphantom-android-malware.html
NCSC 敦促英国水务公司确保控制系统的安全
https://www.infosecurity-magazine.com/news/ncsc-uk-water-companies-secure/
美国卫生与公众服务部警告全国各地医疗机构修补“Citrix Bleed”漏洞
https://therecord.media/hhs-warns-of-citrix-bleed-bug
勒索软件攻击导致美国 60 家信用合作社服务中断
https://abc7ny.com/ransomware-attack-in-us-credit-union-outages-trellance-cyberattack-ncua/14133374/
阿塞拜疆检测到大量受恶意软件感染的 IP 地址
https://menafn.com/1107521328/Azerbaijan-Detects-Massive-Malware-Infected-IP-Addresses-Electronic-Security-Service
AlphV/Black Cat勒索软件团伙对富达国家金融公司进行网络攻击
https://therecord.media/fidelity-national-financial-ransomware-alphv-black-cat
Linux版本的Qilin勒索软件主要针对VMware ESXi服务器
https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi/
网络犯罪分子利用新的代理木马恶意软件瞄准 Mac 用户
https://www.bleepingcomputer.com/news/security/new-proxy-malware-targets-mac-users-through-pirated-software/
漏洞事件
Vulnerability Incidents
Apple 补丁被积极利用的 iOS 0day漏洞
https://www.infosecurity-magazine.com/news/apple-patches-actively-exploited/
UEFI 缺陷允许 Bootkit 使用映像攻击数百台设备
https://www.theregister.com/2023/12/01/uefi_image_parser_flaws/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):超过 20,000 台易受攻击的 Microsoft Exchange 服务器遭受攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论